Un team di ricercatori della Northwestern University ha scoperto un nuovo metodo di attacco che sfrutta i buchi in uno o più add-on di Firefox. Secondo il documento pubblicato dal team di ricerca, questo tipo di attacco appena scoperto sfrutta il fatto che le estensioni legittime non sono “isolate” e possono richiamare altre estensioni che contengono vulnerabilità e diventano un punto di accesso per possibili attacchi informatici.

Il risultato di questa mancanza di isolamento, spiegano i ricercatori, è che un utente malintenzionato potrebbe scrivere un add-on Firefox dannoso, che appare innocuo, ma può usare falle di sicurezza in altri add-on installati.

In questo tipo di attacco, l’ add-on dannoso non viene bloccato dalle normali protezioni di sicurezza, e può quindi creare problemi su un PC arrivando, per esempio, a sottrarre i dati sensibili di un utente.

Qual è il rischio reale di attacco? Le implicazioni di queste vulnerabilità sono potenzialmente gravi, soprattutto se si considera che, secondo i ricercatori, “nove delle dieci estensioni più utilizzate contengono un gran numero di tali vulnerabilità” e che basta sfruttare “solo una o due vulnerabilità” per lanciare un attacco contro un PC.

Detto questo, il documento pubblicato non entrare nel merito del rischio effettivo di un attacco su un particolare sistema. La misurazione del rischio è difficile, dato come diversi utenti utilizzeranno una diversa combinazione di componenti aggiuntivi installati.

La ricerca sottolinea che, da un lato, è relativamente facile attaccare una vulnerabilità in un singolo software, come per esempio Flash Player. Più difficile è attaccare una combinazione di vulnerabilità in una sola volta, perché è meno probabile che tutti i potenziali obiettivi abbiano installati tutti i necessari componenti aggiuntivi. Tuttavia, è un settore della ricerca sulla sicurezza che non va sottovalutato.