Mozilla移除有害的Firefox擴充並呼籲儘快更新

Mozilla基金會周四宣佈移除一個名為「Mozilla Sniffer」的Firefox外掛程式,它可以攔截登入資料並傳給第三方網站。Mozilla也警告在CoolPreviews外掛中有一個安全弱點,建議使用者立即更新到最新版本。

維護Firefox瀏覽器的Mozilla基金會週四宣佈移除一個名為「Mozilla Sniffer」的Firefox外掛程式,它可以攔截登入資料並傳給第三方網站。Mozilla也警告在CoolPreviews外掛中有一個安全弱點,建議使用者立即更新到最新版本。

在移除之前Mozilla Sniffer下載人次已經接近1,800次,以及334名常用使用者。Mozilla表示他們應該已接到解除安裝通知。此外,任何已安裝者也都可以解除安裝已防止密碼遭到竊取。Mozilla也建議使用者儘速更改密碼。

但在宣佈弱點時,Mozilla也注意到自Mozilla Sniffer蒐集資訊的網站關閉,無法得知威脅是否仍在。

Mozilla Sniffer是Tamer Data的變種,它可用以觀看及修改HTTP及HTTPS標頭和參數 。許多開發人員用它來測試網站應用行為,監控哪些資料透過HTTP傳出或用來做滲透測試。Tamper Data則不會將攔截的資料送到外部網站。

Mozilla也警告CoolPreviews外掛3.0.1版中發現有安全升級弱點可透過假造連結攻擊。根據Mozilla指出,「如果使用者滑鼠滑過連結,它的預覽功能即可以本機權限執行遠端JavaScrpit程式碼,取得主機的攻擊script控制碼。」

該弱點己見概念驗證攻擊程式碼,但Mozilla表示尚未偵測到惡意攻擊。截至週二為止,有177.7萬使用者—不到1/4用戶—執行的還是有弱點的版本。Mozilla建議這些使用者安裝最新版本。

為防止Tamper Data等外掛廣為散佈,Mozilla也重新改寫程式碼檢查的政策。技術上,Tamper Data是實驗性外掛,這表示使用者必須冒著程式未經檢查,可能含有威脅的警告點選開啟。

Mozilla安全公告指出,「未經檢查的外掛程式只掃瞄得出已知病毒、特洛依和其他惡意程式,但有些惡意行為卻只有程式碼檢查才偵測得到。」

因此Mozilla表示計畫要求所有外掛程式公開於Mozilla網站之前都必須經過程式碼檢視。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416