Mit einem entsprechend vorbereiteten Skript lässt sich auf ALLE internen Variablen von Firefox zugreifen. Damit sind auch alle JavaScript Variablen und Funktionen von installierten Plug-ins betroffen.

Mozilla sagt dazu, dass es ein non-issue (= nichts wichtiges) ist. Allerdings wird es von anderen Personen als Möglichkeit für Denial of Service Attacken und Lücke für den Zugriff auf persö nliche Daten angesehen. Beispielsweise könnte man unter Einsatz von AJAX alle Daten auslesen und auf einem Server abspeichern. Oder schlimmeres.

Dieses “Problem” zu beheben könnte nicht so einfach sein, da die Firefox-Erweiterungen intern über das betroffene chrome-Protokoll kommunizieren.

Hier ein Beispielskript:

<script src="chrome://global/content/config.js"></script>

<script>

// dump it

function show_all() {

   var chrome = this;

   for (var i in chrome) {

       try {

           document.writeln(i + ' = ' + chrome[i] +'<br />');

    } catch(e) { }

  }

}

show_all();

</script>

Und hier die Liste mit allen JavaScript-Variablen auf die via chrome:// zugegriffen werden kann.

Quelle: The Hacker Webzine