MÀJ : Une seule extension de Firefox était vérolée.

Veuillez lire : Problème de sécurité sur AMO

Problème

Deux extensions expérimentales, la version 4 de Sothink Web Video Downloader et toutes les versions de Master Filer, se sont révélées contenir du code de chevaux de Troie destiné aux utilisateurs de Windows. La version 4 de Sothink Web Video Downloader contenait le cheval de Troie Win32.LdPinch.gen et Master Filer contenait le cheval de Troie Win32.Bifrose.32.Bifrose. Les deux modules ont été désactivés sur AMO.

Impact sur les utilisateurs

Si un utilisateur installe un de ces modules infectés, le cheval de Troie serait exécuté au démarrage de Firefox et l’ordinateur hôte serait infecté par le cheval de Troie. Désinstaller ces modules ne supprime pas le cheval de Troie du système de l’utilisateur. Les utilisateurs de l’une ou l’autre de ces extensions devraient les désinstaller immédiatement. Puisque la désinstallation de ces extensions ne supprime pas le cheval de Troie du système de l’utilisateur, un programme antivirus devrait être utilisé pour scanner et supprimer les infections.

État

Cette vulnérabilité est connue pour infecter Firefox sur Windows uniquement, si Master Filer ou la version 4 de Sothink Web Video Downloader est installée. Les versions de Sothink Web Video Downloader supérieure à la 4.0 ne sont pas infectées. Master Filer a été téléchargé à peu près 600 fois entre septembre 2009 et janvier 2010. La version 4 de Sothink Web Video Downloader a été téléchargée approximativement 4 000 fois entre février 2008 et mai 2008. Master Filer a été retiré d’AMO le 25 février 2010 et la version 4.0 de Sothink Web Video Downloader a été retirée d’AMO le 2 février 2010. AMO effectue un contrôle des malwares sur tous les modules chargés sur le site et bloque les modules qui sont détectés comme tels. Cet outil d’analyse n’a pas détecté le cheval de Troie dans Master Filer. Deux outils supplémentaires de détection de malwares ont été ajoutés à la chaine de validation et tous les modules ont été rescannés, ce qui a révélé le cheval de Troie en plus dans la version 4.0 de Sothink Web Video Downloader. Aucun autre cas de malware n’a été découvert.

Crédit

Ce problème a été initialement signalé par CatThief.

Logiciels antivirus

Voici une liste de programmes antivirus connus pour détecter les chevaux de Troie trouvés dans les modules touchés :

Quelques précisions : Ces deux extensions avaient le statut de module « expérimental », c’est-à-dire qui n’a pas fait l’objet d’un examen public. Pour installer ce type de modules, il faut accepter un avertissement supplémentaire, qui, on le voit, n’est pas à prendre à la légère. Même si Mozilla a tout de suite retiré les extensions infectées de sa logithèque, elles sont toujours disponibles sur d’autres sites de téléchargements. On ne sait combien de copies on été téléchargées depuis de sources extérieures à Mozilla. Mozilla ne dit pas comment il compte prévenir ses utilisateurs abstraction faite de la publication de ce billet du blog d’AMO.

Sources et références