De 'Mozilla Sniffer' bevat code die in Firefox ingevoerde website-inlogdata verstuurt naar een server op afstand. De extensie is op 6 juni toegevoegd aan de Add-ons-site van Firefox, en op 12 juli door Mozilla op een zwarte lijst gezet.

Mozilla raadt in een blogpost aan om, als je de extensie geïnstalleerd hebt, al je wachtwoorden zo snel mogelijk te wijzigen. Huidige gebruikers van de extensie krijgen een notificatie om de add-on te deïnstalleren.

Volgens Mozilla is de kwaadaardige extensie in 5 weken circa 1800 maal gedownload, en waren er 334 actieve gebruikers toen de add-onn uit de extensiegalerij werd verwijderd.

Experimentele extensies

De 'Mozilla Sniffer' stond in de categorie 'experimentele add-ons'. Dit zijn extensies die nog niet getest zijn door Mozilla, en waar de Firefox-maker een extra waarschuwing voor geeft als je ze installeert.

Een wel vooraf door Mozilla geteste extensie verdween woensdag ook uit de galerij, wederom om securityredenen. CoolPreviews, dat 77.000 downloads per week genereerde, bevatte een bug die misbruikt kan worden om een computer op afstand over te nemen.

De extensie geeft gebruikers een preview van een webpagina als ze met de muis over een hyperlink bewegen. Met behulp van een aanpassing van de hyperlink, kon een kwaadwillende via een script de computer van de CoolPreviews-gebruiker overnemen.

177.000 gebruikers onveilig

Het lek zit volgens Mozilla alleen in oudere versies van CoolPreviews (3.01 en ouder). De sinds kort aangeboden versie van de extensie (3.1.0625) is veilig voor gebruik. Toch gebruiken maar liefst 177,000 gebruikers op dit moment een onveilige versie, meldt Mozilla.

Aanvalscode om het lek te misbruiken is volgens Computerworld op een Japanse blog verschenen. Mozilla zegt niets te weten van misbruik van het lek.