En voulant vérifier s’il existait des vulnérabilités récentes avec le gestionnaire de mots de passe de Firefox, je suis tombé sur l’article suivant qui parle d’un module complémentaire malicieux appelé Mozilla Sniffer. Ce module est arrivé à être rendu disponible sur le site principal de Firefox. Ce que ça me dit c’est qu’il faut faire très attention lorsqu’on ajoute un module complémentaire, plugin ou autre [dans n'importe quel navigateur].
Un autre point sur les modules complémentaires. Avec le modèle de sécurité actuel de Firefox [et autres], un module peut être malicieux dès son arrivée dans l’inventaire officiel de Mozilla [et autres] ou peut le devenir lors d’une mise à jour. Il est donc sage d’utiliser aucun module complémentaire d’une source inconnue. Malheureusement, aujourd’hui je ne connais aucune source vraiment fiable – autre que les compagnies de renommée qui portent un peu plus attention à la sécurité et à la qualité logicielle, comme Microsoft. Je ne mettrais malheureusement pas Adobe, Apple et Oracle dans cette liste.
Avec Firefox, j’aime bien les modules NoScript, SyncPlaces, Web of Trust (WOT) et Download Them All mais je n’aime pas vraiment le fait qu’une mise à jour pourrait affecter des milliers d’utilisateurs… Je crois que l’équipe de Mozilla reconnaît ce problème est que c’est pourquoi on travaille sur un nouveau modèle pour addresser ce type de vecteur important.
Entre temps, j’attend toujours pour un navigateur qui gère bien la sécurité tout en offrant les fonctionalités et le contrôle minimum dont je m’attend. Pour le moment, la balance sécurité/fonctionalité n’est pas atteinte encore…
Ref: Firefox blog [2010/07/13]
Add-on security vulnerability announcement
One malicious add-on and another add-on with a serious security vulnerability were discovered recently on the Mozilla Add-ons site. Both issues have been dealt with, and the details are described below.Having unreviewed add-ons exposed to the public, even with low visibility, has been previously identified as an attack vector for hackers. For this reason, we’re already working on implementing a new security model for addons.mozilla.org that will require all add-ons to be code-reviewed before they are discoverable in the site. Here’s more information about it.
Mozilla Sniffer
Issue
An add-on called “Mozilla Sniffer” was uploaded on June 6th to addons.mozilla.org. It was discovered that this add-on contains code that intercepts login data submitted to any website, and sends this data to a remote location. Upon discovery on July 12th, the add-on was disabled and added to the blocklist, which will prompt the add-on to be uninstalled for all current users.
Impact to users
If a user installs this add-on and submits a login form with a password field, all form data will be submitted to a remote location. Uninstalling the add-on stops this behavior. Anybody who has installed this add-on should change their passwords as soon as possible.
Status
Mozilla Sniffer has been downloaded approximately 1,800 times since its submission and currently reports 334 active daily users. All current users should receive an uninstall notification within a day or so. The site this add-on sends data to seems to be down at the moment, so it is unknown if data is still being collected.
Mozilla Sniffer was not developed by Mozilla, and it was not reviewed by Mozilla. The add-on was in an experimental state, and all users that installed it should have seen a warning indicating it is unreviewed. Unreviewed add-ons are scanned for known viruses, trojans, and other malware, but some types of malicious behavior can only be detected in a code review.
Credit
This issue was originally reported by Johann-Peter Hartmann.
Note
