吳明宜 |
維護 Firefox 瀏覽器的 Mozilla 基金會週四宣佈移除一個名為「Mozilla Sniffer」的 Firefox 外掛程式,它可以攔截登入資料並傳給第三方網站。 Mozilla 也警告在 CoolPreviews 外掛中有一個安全弱點,建議使用者立即更新到最新版本。
在移除之前 Mozilla Sniffer 下載人次已經接近 1,800 次,以及 334 名常用使用者。 Mozilla 表示他們應該已接到解除安裝通知。此外,任何已安裝者也都可以解除安裝已防止密碼遭到竊取。 Mozilla 也建議使用者儘速更改密碼。
但在宣佈弱點時,Mozilla 也注意到自 Mozilla Sniffer 蒐集資訊的網站關閉,無法得知威脅是否仍在。
Mozilla Sniffer 是 Tamer Data 的變種,它可用以觀看及修改 HTTP 及 HTTPS 標頭和參數 。許多開發人員用它來測試網站應用行為,監控哪些資料透過 HTTP 傳出或用來做滲透測試。 Tamper Data 則不會將攔截的資料送到外部網站。
Mozilla 也警告 CoolPreviews 外掛 3.0.1 版中發現有安全升級弱點可透過假造連結攻擊。根據 Mozilla 指出,「如果使用者滑鼠滑過連結,它的預覽功能即可以本機權限執行遠端 JavaScrpit 程式碼,取得主機的攻擊 script 控制碼。」
該弱點己見概念驗證攻擊程式碼,但 Mozilla 表示尚未偵測到惡意攻擊。截至週二為止,有 177.7 萬使用者—不到 1/4 用戶—執行的還是有弱點的版本。 Mozilla 建議這些使用者安裝最新版本。
為防止 Tamper Data 等外掛廣為散佈,Mozilla 也重新改寫程式碼檢查的政策。技術上,Tamper Data 是實驗性外掛,這表示使用者必須冒著程式未經檢查,可能含有威脅的警告點選開啟。
Mozilla 安全公告指出,「未經檢查的外掛程式只掃瞄得出已知病毒、特洛依和其他惡意程式,但有些惡意行為卻只有程式碼檢查才偵測得到。」
因此 Mozilla 表示計畫要求所有外掛程式公開於 Mozilla 網站之前都必須經過程式碼檢視。