A Mozilla a Firefox kiegészítők vizsgálata során két olyan add-onra lett figyelmes, amelyek biztonsági kockázatokat rejtenek. Az egyik kiegészítő a Mozilla Sniffer, míg a másik a CoolPreviews. Az előbbi jelszólopásra alkalmas összetevőket tartalmazott, míg az utóbbi használata egy súlyos sérülékenység miatt vált veszélyessé.
Jelszólopó kiegészítő
A Mozilla Sniffer először június 6-án került fel a Firefox kiegészítők letöltésére szolgáló hivatalos weboldalra. Ekkor még csak úgynevezett experimental (kísérleti) besorolást kapott, vagyis amikor a felhasználók le akarták tölteni, akkor ezt csak különféle figyelmeztetések után tehették meg. Ennek ellenére 1800-an feltelepítették a kiegészítőt. A Mozilla július 12-én vizsgálta meg az "add-on"-t, és megállapította, hogy az olyan összetevőt is tartalmaz, amely alkalmas adatok kiszivárogtatására. Mindez azt jelenti, hogy a Mozilla Sniffer a háttérében folyamatosan kémlelte a felhasználók által megadott belépési információkat, jelszavakat, amelyeket aztán egy távoli szerverre továbbított. Azt azonban nem lehet tudni, hogy mennyi jelszó kerülhetett ilyen módon rossz kezekbe.
A Mozilla a kiegészítőt július 12-én feketelistára helyezte, és törölte azt a weboldaláról. Azok a felhasználók, akik korábban telepítették a Mozilla Sniffert, pár napon belül figyelmeztetést fognak kapni, hogy távolítsák el a kiegészítőt, mert az veszélyeket rejt. A Mozilla minden érintett Firefox felhasználónak azt javasolta, hogy mihamarabb változtassák meg a jelszavaikat.
Sérülékeny add-on
A Mozilla a jelszólopásra alkalmas kiegészítő mellett arra is felhívta a figyelmet a jóval szélesebb körben használatos CoolPreviews add-on régebbi verziói egy súlyos sérülékenységet tartalmaznak. (A CoolPreviews-t átlagosan heti 77 ezer alkalommal töltik le, és a Firefox kiegészítők toplistáján korábban már elérte a 21. helyezést.) A hiba speciálisan szerkesztett hivatkozások révén válhat kihasználhatóvá. Amennyiben a felhasználó egy ilyen linkre kattint, akkor egyes esetekben a CoolPreviews - a helyi jogosultságoknak megfelelően - JavaScript kódokat is végrehajt, amit a támadók a saját javukra fordíthatnak. A sebezhetőség kihasználásához szükséges kódok és technikai részletek először egy japán blogon jelentek meg.
A vizsgálatok szerint a CoolPreviews 3.01-es, illetve az ennél korábbi kiadásai tartalmazzák a biztonsági rést. A 3.1-es verzió már nem sérülékeny. A biztonsági hibás változatokat a Mozilla eltávolította a weboldaláról. A CoolPreviews esetében célszerű meggyőződni arról, hogy a legújabb verzió fut-e a számítógépeken, és ha ez nem így van, akkor mihamarabb frissíteni kell a kiegészítőt. A Mozilla jelentése szerint e hét elején még legalább 177 ezren használták az add-on sérülékeny változatát.
Nem ez az első eset
A Firefox kiegészítők kapcsán már korábban is merültek fel biztonsági problémák. 2008 májusában a vietnámi nyelvi kiegészítőről derült ki, hogy egy kártékony programot hordozott. Idén februárban pedig a Master Filer add-onról igazolódott be, hogy trójait terjesztettek.
"Már dolgozunk azon, hogy egy új biztonsági modellt állítsunk össze az addons.mozilla.org webhely számára. Ez meg fogja követelni, hogy minden egyes kiegészítő egy kódátvizsgáláson essen át, mielőtt kikerül a weboldalra." - nyilatkozta a Mozilla képviselője. Az új modell nemcsak a már most is alkalmazott víruskeresésre fog kiterjedni, hanem például az olyan kódelemző tevékenységekre is, amelyek révén megakadályozhatóvá válhat, hogy jelszólopásra alkalmas kiegészítők bekerülhessenek a Firefoxba. Noha a Mozilla már régebben elhatározta, hogy megreformálja az addons.mozilla.org biztonsági megoldásait, még most sem lehet tudni, hogy mikor várható komolyabb előrelépés ebben az ügyben.
A cikk a Computerworld biztonság rovatában jelent meg.
