A Mozilla kénytelen volt elismerni, hogy több mint egy hónapig gyakorlatilag aktívan részt vett egy olyan bővítmény terjesztésében, amely bejelentkezési azonosítókat és jelszavakat lopott a Firefox-felhasználóktól, amiket aztán egy távoli szerverre továbbított.

A cég szerint az oldalukra még június 6-án felkerült bővítményt már 1800-szor töltötték le, azt azonban nem lehet tudni, hogy közülük hány felhasználó jelszavával éltek vissza a bővítmény készítői.

A "Mozilla Sniffer"-t ugyan nem a Mozilla készítette, viszont az általa üzemeltetett, a Firefox-hoz bővítményeket kínáló központi tárból volt letölthető, amelyet a Firefox  megbízhatónak tekint. A Mozilla tárából letöltött bővítményeket a felhasználók általában megbízhatóbbnak tekintik - amire adott esetben nyilvánvalóan semmi okuk nem volt - hiszen a cég elhelyezés előtt nem vizsgálta meg azt alaposan.

Az eset tökéletes bizonyítéka annak, hogy ezen a téren sincs semmi alapja a Mozilla által olyan gyakran hangoztatott állításnak, amely szerint a Firefox biztonságosabb lenne nagy versenytársánál, az Internet Explorer-nél, például az ActiveX hiánya miatt.

Bár a Mozilla böngészője ugyan valóban nem támogatja az ActiveX használatát, de rendelkezik egy azzal a hackerek és a károkozók szempontjából gyakorlatilag teljesen egyenértékű bővítőfelülettel, amely - mint jelen példa is mutatja - kiváló lehetőségeket biztosít a hackerek számára a felhasználók gépére és adataira hasonlóan veszélyes bővítmények kidolgozására és terjesztésére is.

A napokban egyébként egy máltai programozó a Google böngészőjéhez, a Chrome-hoz is közzétett egy olyan ún. proof-of-concept (azaz nem rombolónak szánt, mindössze demonstrációs céllal készült) programot, amely bizonyítja, hogy a szóban forgó - szintén általában biztonságosabbnak hirdetett - böngésző bővítőfelületét kihasználva is lehet olyan kiterjesztést készíteni, amely szintén képes lehet a felhasználók bejelentkezési adatainak ellopására.

Forrás: [PC fórum]