Mozilla fjerner og blokker 2 Firefox Add-ons
Det har ikke skjedd ofte i det siste at Mozilla måtte trekke ut kontakten på add-ons vert på den offisielle Firefox-depotet. Dette kan i stor grad tilskrives den gjennomgangen som hver add-on lagt til området må gjennomgå før det er oppført.
Utviklerne av den populære Firefox nettleser har noen verktøy til disposisjon for å håndtere add -ons som enten er skadelig i naturen eller usikker.
En siste blogginnlegg på Mozilla Add-ons bloggen avslørte at Mozilla måtte forholde seg til to tilleggsprogrammer faller i de to gruppene nylig.
< p> Den første add-on, Mozilla Sniffer, inneholdt kode som fanget opp og sende påloggingsinformasjon til en ekstern server på Internett.
Problemet ble oppdaget 12. juli, seks dager etter tilsetning som en eksperimentell add -På på Mozilla nettsted. Tillegget ble deaktivert umiddelbart etter en manuell kode gjennomgang og lagt til den globale sperrelisten.
Det er totalt 1800 installasjoner har blitt registrert før deteksjon, alle brukere som har installert tillegget motta en automatisk avinstallering forespørsel, utløst av å legge til sperrelisten.
Firefox-brukere som har eller hadde Mozilla Sniffer add-on installert behov for å endre all sin påloggingsinformasjon på alle steder de har besøkt siden installere add-on til hindre mulig kontotilgang fra tredjeparter.
All add-ons som er lastet opp av utviklere til Firefox-depot blir skannet for ondsinnet kode. En manuell gjennomgang av add-on slik på et senere tidspunkt. Virusskanningen ikke oppdage den "telefon hjem" -funksjon, slik at tillegget ble oppført som en eksperimentell add-on på det offentlige nettstedet.
Det er åpenbart at dette bekreftelsesprosessen er feil. Det kan ikke skje ofte at ondsinnet add-ons passere første MR, men det har skjedd i fortiden.
Tilbake i februar to tilleggene ble oppdaget i add-on depot som inneholdt ondsinnet kode. Mozilla tilbake da økte antall malware skannere og hyppigheten av skanningene.
En ny sikkerhetsmodell har blitt foreslått som endrer vurderingsprosessen, slik at bare kode anmeldt add-ons er synlige for Firefox-brukere på add-on hjemmeside.
Kule Previews var den andre add-on Mozilla utviklerne måtte forholde seg til. En kritisk sikkerhetsproblem ble oppdaget i versjon 3.0.1 av add-on, installert av mer enn 170k brukere.
Sikkerhetsproblemet kan utløses ved hjelp av en spesiallaget hyperkobling. Hvis brukeren svever markøren over denne linken, utfører forhåndsvisningsfunksjonen fjernJavaScript-kode med lokale krom privilegier, noe som gir angreps script kontroll over vertsmaskinen.
versjon 3.0.1 og tidligere av Cool Previews har blitt deaktivert etter oppdagelsen. Utvikleren av Cool Previews klart å oppdatere add-on innen en dag av varsling, er den nye versjonen allerede tilgjengelig på Mozilla hjemmeside og som en oppdatering.
Legg-on oppdateringer vises automatisk til Firefox-brukere. Ytterligere informasjon er tilgjengelig på Mozilla blogginnlegg. Anmeldelser