Jelszótolvajt fülelt le a Mozilla
A Mozilla kedden jelentette be, hogy egy olyan kiegészítő/kiterjesztés (add-on) vált letölthetővé oldalukon, melyről kiderült, hogy alkalmas a felhasználó jelszavainak ellopására, ezért a hiba felfedezéséig eltelt egy hónapban közel kétezerszer letöltött programot letiltották - írja összeállításában a nyelv és tudomány kérdéseit boncolgató nyest.hu.
A „Mozilla Sniffer" nevű kiegészítőt a cég hétfőn távolította el és helyezte tiltólistára. A közleményben bejelentették, hogy kritikus biztonsági hibát találtak a letöltési lista 21. helyén álló „CoolPreviews" add-onban is, ezért figyelmeztetik a felhasználókat, hogy frissítsék a meglévő sebezhető verziót a biztonságos újra.
A hivatalos blog szerint a Sniffer tartalmaz egy olyan kódot, mellyel a kiegészítő rögzíti a felhasználó bejelentkezési adatait, majd ezeket elküldi a készítő által meghatározott címre, ezért kérnek minden olyan felhasználót, aki telepítette ezt, hogy sürgősen cserélje le jelszavait, a kiegészítőt pedig távolítsa el, s erről a letöltőket levélben is értesítik (A Mozilla adatai szerint a körülbelül 1800 letöltőből 334-en használták aktívan).
A Sniffer a kísérleti kiegészítők oldaláról volt letölthető, ahol a felhasználót figyelmeztetik a felülvizsgálaton át nem esett add-onokhoz kapcsolódó lehetséges kockázatokra.
A CoolPreviews esetében más a helyzet. Ezt az egeret a linkekre húzva előnézeti képet nyújtó kiegészítőt már 77 ezerszer töltötték le, a benne rejlő biztonsági hibával együtt, amely egy speciális esetben lehetővé tette egy támadó számára, hogy átvegye az irányítást a gép felett. A hibát kijavították és június 25. óta már elérhető a biztonságos (3.1.0625) verzió.
Mivel már nem ez volt az első eset, hogy veszélyes add-on került a letöltőlistára, a Mozilla megígérte, hogy felülvizsgálják eljárásrendjüket, hogy elkerüljék az ilyen hibákat, s hamarosan egy új fejlesztői szabályzatot és eszköztárat hoznak nyilvánosságra.