Mozilla Japan ブログ

Mozilla、Firefox、Firefox OS、Thunderbird の最新情報をお伝えします

個別記事アーカイブ

アドオンのセキュリティ脆弱性に関するお知らせ

ひとつの悪質なアドオンと、深刻な脆弱性を抱えた別のアドオンが、米国 Mozilla Corporation が運営する Add-ons for Firefox (AMO) サイトで最近発見されました。いずれの問題も既に解決済みですが、ここで詳しく説明します。

Mozilla Sniffer
問題

「Mozilla Sniffer」と呼ばれるアドオンが 6 月 6 日に AMO サイトへ登録されました。このアドオンには、あらゆる Web サイトへ送信されるログインデータを傍受し、そのデータをリモートサーバへ送信するコードが含まれていることが分かりました。問題が発見されたのは 7 月 12 日で、ただちにサイトへの掲載が中止され、ブロックリストへの追加が行われました。ブロックリスト は、安全性や安定性に重大な問題があると Mozilla が判断したアドオンをすべてのユーザ環境で自動的に無効化する、Firefox のセキュリティ機能です。

ユーザへの影響

このアドオンがインストールされた Firefox で、パスワード欄を含むログインフォームを送信すると、すべてのフォームデータがリモートサーバへ送信されます。アドオンを削除すればそれ以降データが送信されることはありません。このアドオンをインストールしていたユーザは、できるだけ早くパスワードを変更してください。

状況

Mozilla Sniffer は、登録後およそ 1,800 回ダウンロードされており、現在のアクティブユーザ数は 334 人という調査結果が出ています。すべての既存ユーザには 1 両日中に削除通知が届くはずです。このアドオンがデータを送信していたサイトは現時点でダウンしているため、データがまだ収集されているかどうかは不明です。

Mozilla Sniffer は Mozilla が開発したものではなく、Mozilla によるレビューも受けていません。これは「実験的なアドオン」という位置付けで、インストールする際にはレビューを受けていない旨の警告が表示されます。レビューを受けていないアドオンについても、既知のウイルス、トロイの木馬、その他のマルウェアが含まれていないか、一通りのスキャンが行われていますが、一部の悪質な挙動は人手によるコードレビューを受けない限り発見できません。

クレジット

この問題は Johann-Peter Hartmann 氏によって初めに報告されました。

注記

レビューを受けていないアドオンを公開サイトへ掲載することは、たとえ目立たないようにしても、ハッカーにとっての攻撃要因となることが既に確認されています。このような理由から AMO では、すべてのアドオンについてサイトへの掲載前にコードレビューを義務付ける、新しいセキュリティモデルの実装が進められています。詳しくは こちらでの議論 (英語) を参照してください。

[Mozilla Japan の Firefox アドオン (AMJ) サイトには、レビューを受けていないアドオンは一切掲載されていません]

CoolPreviews
問題

「CoolPreviews」というアドオンのバージョン 3.0.1 に特権昇格の脆弱性が発見されました。この脆弱性は特別に作り込まれたハイパーリンクが引き金となる可能性がありました。このようなリンクにマウスカーソルを当てると、プレビュー機能がリモートの JavaScript コードをローカルのクローム特権で実行し、その結果ホストコンピュータを通じて管理された攻撃スクリプトが起動されるおそれがありました。AMO では、3.0.1 とそれ以前のすべてのバージョンの掲載が中止され、開発者が問題報告を受けたその日に修正版がアップロードされ、レビューを経て公開されました。

ユーザへの影響

この脆弱性の実証コードが このブログ へ投稿されましたが、今のところ悪質な攻撃事例は報告されていません。ユーザが問題のあるバージョンをインストールしていて、このアドオンを標的とした悪質なリンクをクリックすると、そのリンクに含まれたコードがローカル特権で実行され、ファイルシステムへのアクセス権が取得されたり、任意のコードのダウンロートと実行につながったりといった、潜在的な危険性があります。

CoolPreviews をインストールしているすべてのユーザは、攻撃を防ぐため、できるだけ早く最新版へ更新してください。

状況

現在まだ 17 万人以上のユーザが問題のあるバージョンを使用しています。これは CoolPreviews ユーザ全体の 25% 以下で、最新版への更新通知を受けるユーザが増えるにつれて、この数は減少します。問題のあるバージョンはまもなくブロックリストにも追加されます。

クレジット

この問題は Alice White 氏によって初めに報告されました。

[これは米国 Mozilla Add-ons Blog の記事 Add-on security vulnerability announcement の抄訳です。Mozilla Japan が運営する Firefox アドオン (AMJ) 紹介サイトには上記 2 つのアドオンは掲載されていませんが、当ブログでも参考情報として紹介します]

前後の記事

前の記事: Firefox 次期バージョンのテスター向けベータ版第 1 弾、Firefox 4 Beta 1 を公開しました
次の記事: iPhone アプリケーション「Firefox Home」の日本での公開について