Con la versione 2.0.0.4, Firefox è stato soggetto di vari aggiornamenti che hanno corretto, tra l´altro, anche una vulnerabilità che avrebbe permesso a un intruso di accedere a dati personali. Nemmeno il tempo di finire l´aggiornamento che un´altra vulnerabilità simile è stata scoperta e, a quanto pare, deriva da un bug, già noto nella versione 2.0.0.3, curato solo in parte.
A far discutere, però, è un´altra possibilità di attacco scoperta da uno studente statunitense che riguarda le estensioni di Firefox. In pratica molte estensioni cercano e scaricano aggiornamenti utilizzando un canale in chiaro (http) e questo apre le porte ad un attacco del tipo Man-In-The-Middle.
Un intruso potrebbe inserirsi come tramite tra il browser e il server dove è ospitata l´estensione. Quando l´estensione cerca di scaricare un aggiornamento dal server, all´intruso basta sostituire la versione originale dell´estensione aggiornata con una contenente codice malevolo, codice che verrebbe automaticamente installato da Firefox.
Una comunicazione su un canale protetto SSL (https) permetterebbe tramite i certificati di controllare l´esatta provenienza dell´aggiornamento, ma questa soluzione è raramente applicata. Addirittura il secure http non viene utilizzato neanche dalle compagnie più blasonate come Google e Yahoo che pure forniscono estensioni per Firefox diffuse e popolari.
Bisogna comunque fare qualche considerazione: inserirsi come intruso tra due nodi, il browser con l´estensione da aggiornare e il server degli aggiornamenti, è abbastanza laborioso e non può essere fatto su larga scala a meno di craccare un server DNS, il che sposterebbe il problema. Inoltre riguarda più chi produce e distribuisce le estensioni che Firefox in sé e difficilmente Mozilla potrà risolvere il problema con una patch.
Nel frattempo, a coloro che usano ancora la versione 1.5 di Thunderbird, ricordino di aggiornare alla 1.5.0.12 (sì, la 11 l´hanno saltata).