Firefoxに情報流出の脆弱性、危険度は低レベル - ITmedia Newsにて、「アドオンがコンテンツをjarアーカイブに保存しないことが原因」で情報を流出する恐れがあるそうです。

つまり、インストールフォルダにて、chromeフォルダ以下にあるコンテンツが.jarアーカイブに収められていればOK、.jarファイルが無くて直接content/locale/skinフォルダなどが見えていればNGってことなのかな？

上記ので合っているとして、（無効にしているのも含め）いくつかのプロファイルでインストール済みな拡張機能を調べたところ、該当するものは以下の通りでした。

• Custom Buttons　0.0.2.4
• Download Embedded　0.5
  
• Download Statusbar　0.9.6 beta2
• Emhanced Feed Preview　1.0.1
• Feed Sidebar　1.0.2
• Google Gears　0.1.54.0
  
• Greasemonkey　0.7.20080121.0
• iGoogle Sidebar　1.3.3
• InspectThis　0.2.9
• Mozile　0.6.31
  
• OpenSearchFox　0.1.5
• repagination　2006.4.5
  
• ScribeFire　1.4.2
• Stylish　0.5.3
• Translation Panel　1.4.14.7

けっこうありますね…。皆さんも該当するアドオンがあるか確認し、あった場合はそれらのアドオンが更新されていないか小まめにチェックしましょう。

しかし、それらのアドオンすべてが近日中に更新するとは限りません。そこで、chromeフォルダ以下のコンテンツを.jarアーカイブに保存しておく方法を、Windows環境にてインストール済みのGreasemonkey 0.7.20080121.0を一例として紹介します。

1. Greasemonkeyのインストールフォルダを開きます。インストールフォルダは拡張機能MR Tech Local Installなどで簡単に開くことができます。
2. chromeフォルダ内のchromeFilesフォルダとiconsフォルダを1つの.zipファイルとして圧縮します。その.zipファイルを開くと、chromeFilesフォルダとiconsフォルダが入っているはずです。元のchromeFilesフォルダとiconsフォルダは削除しても構いません。
3. （2.）の.zipファイルを「gm.jar」とリネームします。
4. インストールフォルダの「chrome.manifest」をテキストエディタなどで開きます。
5. 文字列「chrome/」を「jar:chrome/gm.jar!/」に置き換えて上書き保存します。
6. Firefoxを再起動してGreasemonkeyが動作していれば完了です。

メインで使用しているFirefox3 Beta2では5つの拡張機能が該当し、それらを上記のように対策してみましたが通常通り動作しています。何か問題があればエラーコンソールにエラーが表示されているはずです。

この方法はすべてのアドオンで利用できるとは限りませんし、何らかの不具合が発生する可能性があります。また、上記の脆弱（ぜいじゃく）性対策になるかどうかはよく分かりませんのでご了承ください。

上記の脆弱（ぜいじゃく）性はFirefox 2.0.0.12で修正されましたので、最新版にアップデートするようオススメします。

MFSA 2008-05: chrome: URI を通じたディレクトリトラバーサル