Christopher Soghoian ha descrito una vulnerabilidad en el mecanismo de actualizaci?n de m?ltiples extensiones de Firefox, incluyendo Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us Extension, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar, LinkedIn Browser Toolbar, Netcraft Anti-Phishing Toolbar y PhishTank SiteChecker, entre otras.

Seg?n Soghoian, el mecanismo de actualizaci?n de estas extensiones es sensible a un ataque man-in-the-middle, ya que cada extensi?n incluye una direcci?n IP que Firefox consulta cada vez que arranca (o cada 24 horas, seg?n otras versiones), para comprobar si existen actualizaciones. Como consecuencia, un atacante podr?a enga?ar al ordenador de la v?ctima haci?ndose pasar por uno de esos sitios, para instalar cualquier software malicioso en lugar de la extensi?n. El problema s?lo puede darse cuando la extensi?n se descarga mediante el protocolo http:// en lugar de https://, por lo que las extensiones alojadas en el servicio add-ons de Mozilla son en principio seguras…

Mozilla acaba de publicar un destacado aviso al respecto en su sitio para desarrolladores.

El problema se agravar?a porque muchas extensiones (por ejemplo las de utilidades Google) no solicitan confirmaci?n al usuario para ser actualizadas. Sin embargo, el grado de compromiso del equipo v?ctima requerido para que este ataque funcione, ya entra?ar?a de por s? una grave susceptibilidad a muchos otros tipos de ataque.

El descubridor del bug parece particularmente molesto con la respuesta de algunos de los productores de extensiones afectadas, que inicialmente no respondieron a su aviso y ahora (mes y medio despu?s) a?n demandan m?s tiempo para resolver la vulnerabilidad.

No alcanza a salir la versi?n 2.0.0.4 y van a tener que pensar de inmediato en la 2.0.0.5