Mozilla po enem mesecu odkrila lažniv dodatek
Matej Huš
15. jul 2010 ob 10:28:14
Mozilla je ta teden odstranila dodatek (add-on) za brskalnik Firefox z imenom Mozilla Sniffer, za katerega se je mesec po odobritvi izkazalo, da je zlonameren. Ugotovili so, da 6. junija dodan dodatek vsebuje kodo, ki prestreza prijavne podatke (shranjena uporabniška imena in gesla) za spletne strani ter jih pošilja na oddaljeno lokacijo. V tem času je približno dva tisoč ljudi preneslo omenjeni dodatek; zanje je nadvse priporočljivo, da zamenjajo vsa svoja gesla. Mozilla je dodatek že uvrstila na listo blokiranih, kar pomeni, da bo brskalnik uporabnike sam pozval, naj ga odstranijo.
Mozilla Sniffer je bil dostopen v eksperimentalni sekciji, kamor so uvrščeni vsi dodatki do zaključka javnega pregleda. Uporabniki jih načeloma ne nameščajo, če pa jih že, so opozorjeni na nevarnosti in nepreverjenost. To ni prvi tovrsten primer, saj so maja 2008 odkrili črva v vietnamskem prevodu, ki je neopaženo ždel na strani več mesecev, letošnjega februarja pa so iz podobnih razlogov pobrisali Master Filer, saj je vseboval Trojanskega konja.
Drugi ta teden odstranjeni dodatek je CoolPreviews, ki je bil prenesen več kot 77.000-krat. Ta ni bil zlonameren, ampak je vseboval kritično ranljivost, ki so jo nepridipravi zaradi funkcije predogleda lahko zlorabili, če je uporabnik prestavil fokus miške na določeno hiperpovezavo.