Il faut savoir qu’une extension malicieuse peut être entièrement faite en JavaScript et être totalement portable. Les composants XPCom apportent des fonctions au langage JavaScript qui permettent de lancer des processus, sniffer les connexions HTTPS en clair, jouer avec les sockets (Proxy, UPNP…), récupérer les mots de passe stockés, accéder au système de fichiers, tout en bypassant le firewall…

D’après les dires du security blog, Mozilla utilise plusieurs scanners anti-malware pour éviter ce genre de désagrément :

These were not originally detected with the anti-malware scanning tools that we have been using.

Cependant, j’aimerai attirer votre attention sur un détail, JavaScript met à notre disposition de nombreuses possibilités pour obfuscer son code. Ces techniques sont couramment utiliser dans les attaques Web (iframe). Par exemple, la fonction eval() permet d’interpréter le code JavaScript passé en paramètre à cette fonction. Cela rend alors totalement useless les recherches par signature.

// var signature = "something_bad();";
var signature_crypt = "XAQDFQDFQSDFQSDF";
eval(decrypt(signature_crypt));

Bien sûr, il est possible que les supers scanners de Mozilla gère ce type d’obfuscation, mais en attendant, ils viennent de laisser passer deux malwares, et peut-être beaucoup plus… FEAR.