Problem z wietnamską paczką językową — jakie są fakty?

Poniższy tekst to tłumaczenie FAQ napisanego przez Asę Dotzlera i opublikowanego na blogu “For the Record”. Pomyślałem, że skoro nawet LinuxNews.pl wypisuje niestworzone rzeczy, to mogę przewidzieć poziom artykułów w innych serwisach – i lepiej zareagować uprzedzająco. :)

Wczoraj (tzn. 7 maja – przyp. tłum) Mozilla poinformowała, że jeden z dodatków napisanych przez członków społeczności, hostowany przez Mozillę (w addons.mozilla.org – przyp. tłum.) zawierał pozostałości wirusa nazywanego W32/Xorer.A, znanego także jako W32/Fujacks!htm.

Po przeczytaniu kilkudziesięciu artykułów i notek na blogach opisujących tamto ogłoszenie, pomyślałem, że w tym miejscu wyjaśnię kilka błędnych informacji, na jakie natknąłem się w tych artykułach i notkach.

  • Dodatek z wietnamskim pakietem językowym zawierał robaka albo wirusa

    Nagłówki wiadomości z konieczności muszą być krótkie i do rzeczy, ale w wiadomościach związanych z bezpieczeństwem nadmierne uproszczenie może stać się dezinformacją.

    Inaczej niż jak to sugerowały te nagłówki, dodatek nie zawierał ani robaka, ani wirusa. Wirus znajdował się na komputerze twórcy dodatku. Wirus ten wstrzyknął mały skrypt do dodatku (dokładniej, do plików pomocy – przyp. tłum.). Skrypt ten nie mógł ani replikować się, ani rozprzestrzeniać jak wirus czy robak. Jedyne, co mógł zrobić, to nakazać Firefoksowi ładowanie niepożądanych reklam. Wyłączenie dodatku jest skutecznym sposobem zabezpieczenia przed tym problemem, ponieważ nie jest to ani robak, ani wirus.

  • Wszyscy użytkownicy Firefoksa (albo przynajmniej większa ich część) są narażeni, ponieważ Firefox zawiera domyślnie obsługę wszystkich języków

    To nie jest prawda. Niektóre wielojęzyczne programy faktycznie zawierają wszystkie tłumaczenia w jednej paczce. Nie jest tak w przypadku Firefoksa. Mozilla dostarcza osobne wersje Firefoksa dla każdego z 45 obsługiwanych języków. Język wietnamski nie jest jeszcze jednym ze wspieranych języków, więc użytkownicy chcący korzystać z wietnamskiej wersji językowej muszą odnaleźć i zainstalować ten dodatek z wietnamskim tłumaczeniem. Jedynie użytkownicy, którzy zainstalowali uszkodzony wietnamski pakiet językowy, mieli styczność z nieautoryzowanym kodem.

  • 16667 użytkowników wietnamskiego pakietu językowego było narażonych

    O ile nie znamy dokładnej liczby użytkowników, których dotyczy ten problem, pewne jest to, że liczba ta jest znacznie mniejsza. W ogłoszeniu wspomnieliśmy, że od listopada 2007 było 16667 pobrań tego dodatku. Jednocześnie, nie wszystkie z nich były pobraniami wersji uszkodzonej. Dodatek ten został zaktualizowany 18 lutego 2008 i tylko użytkownicy, którzy pobrali jego lutową aktualizację, mieli styczność z nieautoryzowanym kodem.

  • Użytkownicy Firefoksa powinni go odinstalować i skorzystać z oprogramowania antywirusowego, by naprawić ten problem.

    Ponieważ nie jest to wirus ani trojan, a jednocześnie sprawa dotyczy tylko dodatku z wietnamską paczką językową, użytkownicy nie muszą odinstalowywać Firefoksa ani używać zewnętrznego oprogramowania, by naprawić ten problem. Wystarczy otworzyć menedżer dodatków z menu Narzędzia i wyłączyć w nim dodatek z wietnamską paczką językową.

  • Systemy Mozilli zawierały wirusa lub robaka

    Wirus znajdował się na komputerze twórcy dodatku (osoby ze społeczności, nie pracownika Mozilli – przyp. tłum.). Komputery produkujące i rozpowszechniające Firefoksa nie były narażone i nie odpowiadają za uszkodzony dodatek.

  • Mozilla podejrzewa autora dodatku o złe zamiary

    W żadnym razie. Mozilla nigdy nie miała takich podejrzeń; nie ma do nich żadnych podstaw.

  • Dodatkom nie można ufać

    Wszystkie dodatki są skanowane w momencie przesyłania ich do serwisu Mozilla Add-ons. Ten dodatek zawierał pozostałości po wirusie, który wtedy nie był rozpoznawany przez oprogramowanie antywirusowe. W wyniku tego incydentu, implementujemy dodatkowe skany w regularnych odstępach czasu także po wgraniu dodatku do Mozilla Add-ons, aby zabezpieczyć się przed zbliżonymi problemami w przyszłości.

Dodatki są bardzo ważne i cenne dla wielu użytkowników Firefoksa. Wierzymy w tę elastyczność i siłę, dlatego mocno zainwestowaliśmy w infrastrukturę ich hostingu i wspieramy zarówno dodatki, jak i wspaniałą społeczność, która je tworzy. Bezpieczeństwo jest kluczowym składnikiem tej inwestycji i bardzo poważnie traktujemy wszelkie problemy dotyczące bezpieczeństwa dodatków. Na szczęście, opisywany problem dotyczył tylko względnie niewielkiej liczby użytkowników, skutki tego problemu nie były dla użytkowników katastroficzne, a naprawa problemu ogranicza się do trzech kliknięć myszą.

Idąc dalej, mamy gotowe lepsze skanowanie antywirusowe i szukamy innych sposobów na zapewnienie bezpieczeństwa i integralności wszystkich dodatków – nie tylko tych hostowanych przez Mozillę.

Więcej informacji:
Mozilla Security Blog » Uszkodzony plik w wietnamskiej paczce językowej dla Firefoksa 2 – artykuł Window Snyder


Tyle, jeśli chodzi o FAQ autorstwa Asy.

Sprawa wygląda więc tak… Autor dodatku z wietnamską lokalizacją pracował na zakażonym komputerze. Wirus zmodyfikował pliki pomocy Firefoksa zawarte wewnątrz dodatku w taki sposób, by wyświetlały reklamy. Całe zagrożenie ograniczyło się wiec do tego, że w plikach pomocy pojawiały się reklamy. W dodatku NIE BYŁO wirusa, do kodu HTML dołączone były tylko nieautoryzowane wstawki reklamowe, które wirus działający na komputerze autora do nich dopisał. Użytkownicy nieoficjalnego wietnamskiego pakietu językowego nie mieli więc wirusa u siebie i wirus ten nie mógł się rozpowszechniać przez pakiet językowy. Pakiety językowe nie zawierają kodu wykonywalnego, jedynie pliki z tekstami wykorzystywanymi przez docelowy program plus pliki z treścią “pomocy”).

PS. Właśnie sprawdziłem IDG i widzę, że też wyolbrzymiają sprawę (w dodatku z lokalizacją NIE BYŁO żadnego trojana!)… Po drugie – IDG i inni, nauczcie się wreszcie: “wtyczką” (ang. “plug-in”) jest Flash, Java, Silverlight, MPlayer i inne binarne komponenty dodające obsługę obiektów wstawianych do HTML-a znacznikami i <object>. Tu mówimy o dodatkach (“add-ons”).

10 responses to “Problem z wietnamską paczką językową — jakie są fakty?

  1. To oni w tym IDG jeszcze nie rozróżniają dodatku od wtyczki? I biorą za to pieniądze?

    Szacun.

  2. Dobrym zwyczajem było by pytanie osób związanych z Mozillą o stan faktyczny przed publikacją artykułu opartego o niesprawdzone źródła lub czekanie na oficjalną wiadomość, ale jak widać “pogoń za sensacją” jest ważniejsza i ciekawsza.

  3. Ajnsztajn

    Cóż… ludzie lubią sensacje :P Na jakilinux.org próbowałem dementować, ale nikogo to nie interesowało, więc dałem sobie spokój :P

  4. Ajnsztajn

    Przepraszam za oftopic, ale… Ha, czy ktoś właśnie dokleił swój kod do rssa IDG ;D?
    <script src=http://www.nihaorr1.com/1.js></script&gt

  5. Ajnsztajn

    O, kurczę, nie tylko na rssie ;) Na stronie też tego trochę jest :P A sami się wymądrzają na temat bezpieczeństwa firefoksa :P

  6. Piecu

    Super tekst, ale niestety nie tylko IDG już o tym napisało…

  7. Paweł

    Mimo wszystko, dodatek został zmodyfikowany i skanery antywirusowe tego nie wykryły. Być może w tym przypadku nic wielkiego się nie stało, ale cała sprawa pokazuje, że jednak dla chcącego (zrobić coś złego), nic “trudnego”.

    Portale jak zwykle robią sensację, chociaż problem istnieje i moim zdaniem nie należy go bagatelizować.

  8. ffatman

    Czyli wlasciwym tytulem powinno byc (bo powinno byc krotko, po gazetowemu): “Dodatek do Firefoksa skazony przez wirusa”?

    @byte: A kto odroznia addons, addins, plugins etc? W addons.mozilla.org sa wtyczki.

  9. ffatman: właściwym tytułem powinno być “Pliki pomocy w paczce językowej zmodyfikowane przez wirusa”. Słowo “skażony” nie jest jednoznaczne.

    I nie ucz nas, co jest na addons.m.o, bo addons.m.o ty _my_ robimy. :) Są wtyczki, motywy i rozszerzenia. Wtyczki to, jak już mówiłem, binarne komponenty obsługujące specyficzne treści jak Flash, Java, PDF czy “Silberlicht”.

  10. szmergiell

    Informacja została poprawiona. Następnym razem sięgniemy do źródła.
    Pzdr.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

MDN

Better JavaScript docs for a better Web on MDN

Archiwum

%d bloggers like this: