Trójait tartalmazott két Firefox add-on

 ( Ar0n | 2010. február 6., szombat - 19:29 )

A Mozilla elismerte, hogy két kísérleti Firefox bővítmény trójait tartalmazott. Pontosabban:

  • Sothink Web Video Downloader (v4.0)
  • Master Filer (összes verzió)

Ez nem az első eset, hogy malware került bele a bővítményekbe. 2008-ban az egyik language packbe került bele egy adware.

A probléma csak a Windows felhasználókat érinti. A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

[FLAME ON][MS boot][/MS boot][/FLAME ON]

"A probléma csak a Windows felhasználókat érinti." Má' majdnem összeféltem magam. Ijesztgetik itt az embert.

+1

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

mindig a linuxosok maradnak le mindentől! még egy vacak trójait sem tudnak rendesen megcsinálni linuxra.

azt a terem búráját!

az, hogy sütit nem hoztál, bunkó, tirpák dolog volt!

:-D

:D

Miért van az, hogy az ilyen filmekből minden idézetre emlékszem? pedig csak 1x láttam :D

Melyik film?

---
dropbox tárhely igénylés: https://www.dropbox.com/referrals/NTMwMDYwODE5

Vektor :D

Igen, a vektor. Zsenialis mu:

http://alterego.hu/

mert ami windowson trojai az a linuxosnak easter egg...


No rainbow, no sugar

Macen meg feature. Think different!

Pedig teljesen logikus, hogy user error az egész.
Minden alkalommal nem megbízható forrásnak jelöli meg az FF az addons.mozilla.org -ot. Pontosabban: nem jelöli megbízhatként. Teljesen jogosan.:)

"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu

hátésaztkiolvassael?!44 :)

A hypo-s dobozon ki olvassa el a halálfejet? Mégse isznak az emberek hypo-t minden nap. Eljutottunk abba a korba, amikor a szülőknek bővebb ismereteket _kell_ átadniuk a gyermekeiknek.

- 100 évvel ezelőtt még elég volt a "kés, villa, olló, gyerek kezébe nem való"
- a gáz és a villany megjelenésével ezt ki kellett bővíteni a "ne játssz a gázzal, villannyal" figyelmeztetéssel
- az internet felbukkanásával pedig "figyelj továbbá az internet veszélyeire (pedo bácsik, crapware-ek stb.)"

Szerk: jaj, az AIDS-t és a narkót kihagytam :D

--
trey @ gépház

"Szerk: jaj, az AIDS-t és a narkót kihagytam :D "

pedig lehet a fentiek helyett inkább csak ezt kellene elmondani a sok kis hülyének

Nem. Nem helyett, hanem azokkal együtt.

--
trey @ gépház

Ettol maszok falra. Kicsit a gnome-look -os mizeriara emlekeztet. Sok fanboy veri a nyalat hogy megnezi a forrasat, megnezHETI a forrasat a dolgoknak ezert minden milyen biztonsagos, itt nincs semmi se, itt minden okes. Aztan majdnem igy is lett, csak megse.

Most ugyanez. Kicsomagolhato, kicsit atnezheto, semmi meglepo. SOT, meg rengeteg ablak is figyelmeztet (amit irtal is), AMIT el kell fogadni, VARNI kell ra. ..... Az emberi hulyeseg ellen nincs megfelelo vedelem.. de ez mar joparszor bebizonyosodott.

Igen, de legalabb a license nem gatol abban, hogy visszafejtsd asm-be :)

Jo de sok firefox addon utan boven utana lehet nezni ha erre gondolsz...

Kinek mennyi ideje van ... :D

Hat jo. De gondolj bele ki szaladt bele ilyenbe. Rakom a voksom a nonlifer jatekosokra meg a myvip/iwiw/forum maniakusokra (aka. szocf...-ok (en is ugy hallottam a kifejezest, de kifejezetten tetszik es remekul rajuk illik. :))) Tehat ha azt az idot ami alatt megolt 10 virtualis ellenfelet es leizzadt benne vagy mialatt bejelolt volna 3 ismerost, picit meg is nezhetne mit rak fel. Ha mar van valami weboldal szerusege az addonnak...

:D

"Sok fanboy veri a nyalat hogy megnezi a forrasat, megnezHETI a forrasat a dolgoknak"

S igaza is van. Csak ezt a feladatot a disztribútor csinálja, nem a user. Ezt ne felejtsük el.
Másrészt meg egy fecske volt, emiatt kár lenne pánikba esni.

Egy másik fórumon erre azt mondtam, hogy ilyen desing meg téma dologhoz semmi szükség a root jogra. Ha mégis ilyet kér, az kerülendő.

Ilyen egyszerű szabályokat kell betartani és nem felugró halálfejes ablakokkal untatni az embert.

>>: sys-admin.hu :<<

Szabalyokat betartani + r=1? Ugyanma' :-/

Fú, várjál, mindjárt megjönnek Gabucinoék és elkezdik ecsetelni a Debian OpenSSL bugot... IRC-n úgy is egész hétvégén azon lovagoltak.

----------------
Lvl86 Troll

Azt, amelyik mar mocskos reg (minimum egy eve) volt?
Mert szerintem emellett azt azert elegge kevesen tudtak kihasznalni.

"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu

Én még nem láttam biztonságosat...

Itt szerintem magában a Mozilla megoldásában van a hiba. Ugyanis az oké, hogy figyelmeztet, meg várni kell, de mivel mindenre figyelmeztető, így annyit ér, mint Vistán az állandóan elsötétedő képernyő, akárhányszor belépsz a vezérlőpultban valamibe, vagy elindítasz valamit.
A felhasználó megszokja, hogy csak a szokásos ablak jön fel, és már nem olvassa el, csak rutinból rányom, mert aznap már az a századik. A Firefoxnál is minden bővítmény nem biztonságos. (egyszer volt még a Firefox 1 alatt egy olyan bővítménytelepítésem, amire azt írta, hogy aláírt, biztonságos) Ha mondjuk a Top 50 bővítményt valaki szépen átnézné, lehitelesítené, és azoknál nem szólna, akkor kicsit több figyelmet kapna egy olyan figyelmeztető ablak, ami most még a Mozilla által fejlesztett hivatalos addonok esetében is előugrik, és talán nem mindenki kattintana rá rutinból a telepítésre.

Egyetértek.

Azonban azert vicces latni, h ha egy open source cuccrol van szo, akkor automatikusan a felhasznalo a hibas, a termek/szolgaltatasnak semmit sem kell tennie.

---
pontscho / fresh!mindworkz

"A Mozilla szívességből hivatkozásokat ad ezekre az alkalmazásokra, de nem felel ezeket az alkalmazásokért és az azokkal kapcsolatos információkért. Az alkalmazásokkal kapcsolatos minden kérdést, panaszt vagy követelést a megfelelő szoftvergyártó felé kell irányítani."

Ezután két valaki felelhet a "hibáért". Az alkalmazás írója és a felhasználója. Mivel az előbbi közt lehet rossz fiú, marad az alkalmazás telepítője, akinek résen kell lennie. Nem kell ehhez egyetem. A Mozilla egyébként futtat AV szoftvert minden egyes feltöltött extension-ön. De mivel az AV szoftverek a malware-ek után kullognak, ez nem 100%-os megoldás.

Most majd a Mozilla többféle AV szoftverrel fog scannel-ni, de ez sem halálbiztos. A biztos a rendőr meg a halál. Szóval továbbra is jó lesz résen lenni mindenkinek.

--
trey @ gépház

Egészen pontosan mit értesz azalatt, hogy "jó lesz résen lenni"?
Fussuk át az add-on forráskódját mielőtt felrakjuk?

Nem. Azt értem alatta, hogy lehetőleg tartózkodni a frissen felbukkant add-on-októl. Főleg olyanoktól, ami még csak a Mozilla add-on oldalának "kísérleti" szekciójában volt megtalálható, ahol az olyan új add-on-ok vannak, amelyek a nyilvános áttekintési folyamatra várnak.

"Both add-ons were in the "experimental" area of Firefox's add-on download site, where newer extensions remain until they undergo a public review process." - írta a ComputerWorld.

Megfelelő utánjárással azért elég jól le lehet informálni egy add-on-t. Rizikó mindig van.

--
trey @ gépház

Félrecsúszott: Vladinak válasz a linuxon arra, hogy a Mozilla user privilégiumokkal fut:

Ki kell, hogy ábrándítsalak. A legtöbb trójainak szerintem nem kell root jogosultság.

- spamhoz nem kell
- DDOS-hoz sem

Átírja a bashrc-t, azt ok.

Meg netbank adatok ellopásához sem. Kivéve persze, ha más felhasználóként csinálod.

No meg root jogot se nehéz szerezni, ha már egyszer bent van, és nem csak a local root sechole-ok miatt. A legtöbb Linux rendszer azt propagálja, hogy ne jelentkezz be rootként, hanem normál felhasználóként, és {kde,gk,}su{do,}-val configuráld a rendszert, amiből simán el lehet lopni a jelszót. Persze ez ellen is véd, ha más felhasználóként jelentkezel be ilyenkor.

Én mondjuk még olyan add-on-t még nem láttam, amiben ne lett volna benne, hogy "ne telepítsd fel, mert meghalsz".
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

:)