מוזילה הסירה תוסף לפיירפוקס שהכיל רושעה
הרושעה שהתגלתה בתוסף Mozilla Sniffer מאפשרת לכותביו לגנוב סיסמאות מהמשתמשים המתקינים אותו ● מוזילה שלחה מכתב לכל 1,800 הגולשים שהורידו את התוסף ובו המלצה למחקו ● כמו כן, מוזילה החליטה לחסום באופן זמני מפני הורדה והתקנה את CoolPreviews - אחד התוספים היותר פופולריים שלה - לאחר שהתגלו בו פגיעות שמאפשרות למשתמש מרוחק ליטול את השליטה על המחשב המארח
תוסף בשם Mozilla Sniffer, שיועד למשתמשי פיירפוקס (Firefox), הורד השבוע מאתר הורדות התוספים של הדפדפן, לאחר שהתגלתה בו רושעה שמאפשרת לכותבי התוסף לגנוב סיסמאות מהמשתמשים המתקינים אותה. התוסף, שהועלה לאתר בתחילת יוני, הורד כ-1,800 פעמים לפני שמוזילה (Mozilla) גילתה שהוא מכיל קוד שמפענח כניסות לאתרים, כולל שמות משתמשים וסיסמאות, ומעביר את המידע למיקום מרוחק. מוזילה הכניסה את התוסף לרשימה השחורה ואף שיחררה הודעה שבה היא מפצירה בכל המשתמשים בתוסף להסיר אותו מיד מהדפדפן שלהם.
ממוזילה נמסר, כי תוסף זה לא פותח על ידה, והיא גם לא ביצעה סקירת קוד שלו עד לשבוע האחרון, שבו התגלה הקוד המרושע. "הוא הוגדר כתוסף בניסוי, וכל המשתמשים שהתקינו אותו אמורים היו לקבל אזהרה שמדובר בתוסף שלא נבדק. אנחנו אמנם סורקים תוספים שהקוד שלהם לא נבדק, בכדי לזהות וירוסים, סוסים טרויאניים ורושעות אחרות, אבל יש סוגי התנהגויות שניתן לאתר רק בבדיקת קוד המקור", אמר אחד מדוברי הארגון.
במקביל לחסימת Mozilla Sniffer, החליטו במוזילה לחסום באופן זמני מפני הורדה והתקנה את CoolPreviews – אחד התוספים היותר פופולריים שלה (מקום 21 ברשימת הורדות התוספים הגלובלית). בסקירת הקוד של גרסה 3.0.1 שלו נתגלו פגיעות שמאפשרות למשתמש מרוחק ליטול את השליטה על המחשב המארח. מוזילה הסירה מאתר התוספים את כל הגרסאות הרלוונטיות, והמפתח, שקיבל הודעה מתאימה, אמור להעלות גרסה מתוקנת.
תגובות
(0)