A equipe de segurança da Mozilla corrigiu uma vulnerabilidade relacionada aos add-ons que foi descoberta na semana passada. Entretanto, nenhuma decisão foi tomada sobre quando o Firefox 2.0.0.12 estará disponível para os usuários.
A vulnerabilidade, conhecida formalmente como "chrome protocol directory transversal", ocorre quando um add-on "flat" está presente. Neste caso, uma extensão para o browser que armazena suas informações dentro de arquivos JavaScript ao invés de arquivos JAR.
Window Snyder, chefe de segurança da Mozilla, disse que a vulnerabilidade não está no browser em si, mas sim no modo como as extensões são escritas. Um atacante poderia explorar esta falha e deste modo obter dados ou perfis do sistema comprometido.
Extensões como a Greasemonkey e Download Statusbar foram mencionadas inicialmente. Entretanto, a lista atual de extensões afetadas fornecida pela Mozilla é muito maior.
