Mozilla: uwaga na wtyczkę z trojanem

Przedstawiciele Fundacji Mozilla poinformowali, że w jednej z wtyczek do przeglądarki Mozilla Firefox (stworzonej przez zewnętrznego developera) znalazł się koń trojański Xorer. Zainfekowaną wtyczkę pobrało co najmniej kilka tysięcy użytkowników - głównie z południowo-wschodniej Azji, problem dotyczył bowiem wietnamskiego pakietu językowego dla Firefoksa 2.0.

"Każdy, kto po 18 lutego 2008 r. pobrał najnowszy wietnamski pakiet językowy, otrzymał i zainstalował w przeglądarce zainfekowaną wtyczkę" - napisała w wydanym z tej okazji oświadczeniu Window Snyder, szefowa Mozilli ds. bezpieczeństwa. Snyder tłumaczy też, że wszystkie dodatki do Firefoksa są skanowane pod kątem wirusów przed umieszczeniem ich w oficjalnym katalogu - jednak w tym przypadku test zawiódł, ponieważ Xorer bardzo późno został wykryty przez producentów "antywirusów", co sprawiło, że w momencie dodawania wtyczki do katalogu wykorzystywany przez Mozillę program antywirusowy nie był jeszcze w stanie go wykryć.

Przedstawicielka Mozilli dodała też, że od teraz fundacja będzie przeprowadzać dodatkowe testy oprogramowania, aby zagwarantować, że taki incydent nie powtórzy się w przyszłości.

Z informacji udostępnionych przez Mozillę wynika, że problem wykryto we wtorek - wtedy to okazało się, że jeden z pakietów językowych dla Firefoksa zawiera złośliwy kod. Analizy wykazały, że jest to koń trojański Xorer (jego działanie ogranicza się na szczęście do wyświetlania irytującego bannera reklamowego).

"Moim zdaniem do zarażenia doszło ponieważ system operacyjny autora wtyczki był zainfekowany i trojan dołączył swoją kopię do plików HTML wchodzących w skład wtyczki. Na szczęście "szkodnik" nie jest destrukcyjny i nic poważnego się nie stało" - mówi jeden z developerów Firefoksa.

Przedstawiciele Fundacji Mozilla nie są w stanie oszacować, ile osób zainstalowało zainfekowaną wtyczkę - z ich statystyk wynika, że tylko w ostatnim tygodniu pobrano ją ponad 1,2 tys. razy, zaś od momentu jej udostępnienia w listopadzie 2007 - 16,6 tys. razy.

Window Snyder mówi, że na razie nie wyjaśniono, jak doszło do dodania trojana do wtyczki - zastrzega jednak, że do takiego zdarzenia może dojść w każdym procesie tworzenia oprogramowania, niezależnie od tego, czy będzie to open-source, czy zamknięte źródło. "Nikt przecież nie odcina deweloperów od świata - przeglądają Internet jak każdy z nas i ich systemy mogą zostać zainfekowane. To się zdarza" - komentuje Snyder.

Warto przypomnieć, że do takich incydentów rzeczywiście dochodziło już wielokrotnie - w 2006 r. Apple sprzedał w USA partię zainfekowanych wirusem RavMonE iPodów, zaś pod koniec 2007 r. w ofercie amerykańskiej sieci sklepów BestBuy pojawiła się elektroniczna ramka do zdjęć z trojanem.

Słowa Snyder potwierdza Eric Schultze, szef działu technicznego firmy Shavlik Technologies - "Niektórzy mogą mówić, że oto mamy do czynienia z zagrożeniem typowym dla świata open-source - ale to nieprawda. Większość powstających obecnie programów zawiera pliki HTML - to samo mogło się przydarzyć każdemu, również Microsoftowi" - komentuje Schultze. "Faktem jest jednak, że to wydarzenie świetnie pokazuje, jak bardzo należy dbać o bezpieczeństwo podczas procesu produkowania oprogramowania" - dodaje specjalista.

Aktualizacja: 14 maja 2008 11:55

W blogu Window Snyder pojawił się nowy wpis, zawierający dalsze wyjaśnienia na temat "incydentu z pakietem językowym". Snyder wyjaśnia w nim, że dokładne analizy problemu wykazały, iż pakiet nie zawierał żadnego trojana czy innego szkodliwego kodu - modyfikacja ograniczyła się do dodania do jednego pliku HTML fragmentu kodu wyświetlającego banner reklamowy. Zdaniem przedstawicieli Fundacji, jest to najprawdopodobniej efekt zainfekowania systemu autora dodatku przez wirusa - ale na pewno nie jest to żaden szkodliwy kod. Snyder zdementowała w ten sposób wcześniejsze informacje podane przez developerów Mozilli - to oni poinformowali pod koniec ubiegłego tygodnia, że w dodatku wykryty został koń trojański Xorer.


Zobacz również