Mozilla: csak az egyik add-on tartalmazott malware-t

Mozilla

A Mozilla nemrég arra figyelmeztette a felhasználókat, hogy két kísérleti állapotban levő Mozilla Firefox add-on-t eltávolított el az AMO-ról, mert úgy találta, hogy azok malware-t tartalmaznak. Most - miután biztonsági szakértőkkel és add-on fejlesztőkkel megvizsgálták a kérdést - új információkat közöltek az incidenssel kapcsolatban. Kiderült, hogy az egyik add-on, a Sothink Video Downloader 4.0-s verziója esetében vaklárma volt a riasztás. A nevezett anyag nem tartalmazott kártékony összetevőt. Ezzel egy időben kiderült az is, hogy a Master Filer kiegészítés valóban tartalmazott kártékony kódot.

A vizsgálat után változott az érintett felhasználók száma is. A két add-on esetében még arról volt szó, hogy körülbelül 6 000 felhasználót érint a probléma. Mostanra ez a szám 700-ra csökkent, mivel a problémás kísérleti add-on-t ennyi példányban töltötték le. A Sothink Video Downloader kiegészítés újra elérhető az AMO-ból. A Mozilla köszönetet mondott a McAffe-nek, amiért az segített jobban megérteni a problémát, illetve egyben elnézést kért a felhasználóktól és a Sothink Video Downloader fejlesztőitől a kellemetlenségért.

A részletek itt.

( crown v | 2010. 02. 11., cs – 14:01 )

remellem, ezentul jobban raneznek, mi kerul ki, hivatalos mozilla oldalra addonnak :-(

Ellenőrzik most is. Minden, az AMO-ba feltöltött kiegészítésen futtatnak Anti-vírus programot. Az meg tudjuk mennyit ér. A leírtak szerint experimental szekcióban levő kiegészítések addig vannak ott, ami a "public review" (fogalmam sincs mit jelent) folyamat le nem zajlik.

Számomra - ahogy korábban is leírtam már - egyetlen opció van: tartózkodni ezen kiegészítők telepítésétől.

--
trey @ gépház

Technologiailag nem tudom, lehet -e ellenorizni az ilyen kiegeszitesek ellenorzeset (igazabol, nem hiszem) antivirus meg semmit nem szamit, plane ha nem windows alapu O/S-t hasznalsz. Legegyszerubb esetben az addon kulso hivasokat general (http) aztan ember legyen a talpan, aki ellenorzni, hogy az jo, vagy rosszindulatu -e.
[amit irsz ellenorzesrol, az mindenkepp pozitivan hangzik]

( bimi3 | 2010. 02. 11., cs – 16:15 )

Ha az addons.mozilla.org-ot 'nem megbízhatóként' minősíti az FF, akkor hol van olyan kiegészítőket tartalmazó oldal, amit - úgymond -megbízhatónak fogad el.

Egyszerűen kétlem, hogy ezt a rengeteg kiegészítőt amit eddig írtak hozzá, tudná valaki mind egyesével átnézni és leellenőrizni. Amellett hogy pont ezek megléte jelenti az egyik legfőbb vonzerőt az FF használata mellett.

"Egyszerűen kétlem, hogy ezt a rengeteg kiegészítőt amit eddig írtak hozzá, tudná valaki mind egyesével átnézni és leellenőrizni. Amellett hogy pont ezek megléte jelenti az egyik legfőbb vonzerőt az FF használata mellett."

A debianban is van ~23,000 csomag, es kevesebben fejlesztik/hasznaljak (szerintem) mint a tuzrokat, szoval szerintem lehet ra eleg emberi eroforrast allokalni, akar kozossegi alapon.
De egyszerubb lenne utananezni, hogy hogyan mukodik az elbiralas, hogy kerul at experimental-bol stable-be egy plugin, mint itt talalgatni..

Tyrael

Amennyire tudom a Mozilla politikájában nagy hangsúlyt kap a közösség munkájának bevonása.

Ugyanakkor csak kell valaki hivatalosan kijelölt személy, aki kimondja hogy "ez mostantól stabil" és átteszi a stable-be.

Ha meg valaki mozilla-s személy teszi be a stable-be, akkor miért jön rögtön a figyelmeztető ablak, hogy az oldalról nem ajánlott telepíteni ill. 'nem megbízható' az add-on.

No persze a számítógép használat sohasem lesz teljesen biztonságos.

Csak hogy vegre ez is le legyen irva: nem azt irja, hogy az addons.mozilla.org nem megbizhato, hanem azt, hogy maga az addon nem az, mert nincs alairva az addon-t tartalmazo zip file.

Nekem meg sosem dobta fel, hogy az addons.mozilla.org nem megbizhato, ez szamomra urban legend. Friss telepitesnel se szol soha, hogy az AMO nem megbizhato. Ha megis, az bug lehet...
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.