In Firefox or Chrome, is it possible for a web page script to compromise a user installed extension?
Assolutamente, le estensioni stanno ottenendo la loro giusta quota di vulnerabilità. Di quali bug è necessario prestare attenzione dipende da come l'estensione interagisce con i contenuti web. Ad esempio, l'addon LastPass per Firefox è risultato vulnerabile più volte . A causa di uno dei difetti è stato possibile per un sito web preparato a esfiltra le credenziali dell'account memorizzate appartenenti a domini diversi confondendo il parser dell'URL dell'estensione.
What measures can be taken by extension developers to reduce the attack vector?
Proprio come con le normali applicazioni web, è necessario convalidare l'input dell'utente, prevenire iniezioni, verificare origini, ecc. - non è possibile fornire un elenco completo qui. Poiché le estensioni del browser sono spesso implementate utilizzando tecnologie web (JS, HTML, ...), si applicano la maggior parte delle tipiche vulnerabilità delle applicazioni Web. Inoltre, le estensioni funzionano spesso con privilegi più elevati rispetto agli script Web, il che significa che un difetto XSS in un'estensione di Firefox può potenzialmente compromettere l'host.