ブラウザFirefoxの開発元、Mozillaは米国時間13日、米国Mozilla Corporation運営のAdd-ons for Firefox(AMO)サイトで公開されていたアドオンの中に、ログインデータを盗み取る悪質なアドオンがあったと発表した。また、これとは別のアドオンに深刻な脆弱性が見つかったことも明らかにした。
Mozila Japanのブログによると、これらのアドオンは、Mozila Japanが運営するFirefoxアドオン(AMJ)紹介サイトには掲載されていない。
■ログインデータを盗み取るアドオン
ログインデータを盗み取るアドオンは「Mozila Sniffer」という名称で、6月6日(米国時間。以下同じ)から7月12日まで、「実験的なアドオン」という位置づけでAMOサイトに掲載されていた。このアドオンには、あらゆるWebサイトへ送信されるログインデータを傍受して外部へ送信するコードが含まれており、Mozilaではこのアドオンをインストールしていたユーザーに対し、早急にパスワードを変更するよう呼びかけている。
このアドオンは、問題が見つかった12日に、Mozilaによって無効化の措置がとられている。同アドオンは1800回ダウンロードされ、13日時点でのアクティブユーザー数は334人。ユーザーには、Mozilaから削除通知が送られている。
■深刻な脆弱性が見つかったアドオン
脆弱性が見つかったアドオンは、「CoolPreviews」のバージョン3.0.1。ユーザが問題のあるバージョンをインストールした状態で、このアドオンを標的とした悪質なリンクをクリックした場合、リンクに含まれたコードがローカル特権で実行され、ファイルシステムへのアクセス権が取得されたり、任意のコードがダウンロード/実行されるおそれがある。
すでにこの脆弱性を突く実証コードが公開されているが、悪質な攻撃事例は報告されていないという。AMOサイトでは同アドオンのバージョン3.0.1とそれ以前のバージョンの掲載をすでに中止しており、無効化の措置も行われる予定。問題を修正した最新版が公開されているので、Mozilaでは、同アドオンをインストールしているすべてのユーザーに最新版への更新を呼びかけている。古いバージョンを使用している場合は、更新を促す画面が表示される。
(2010/07/16 ネットセキュリティニュース)
■アドオンのセキュリティ脆弱性に関するお知らせ(Mozila Japanブログ)
http://mozilla.jp/blog/entry/5756/
■Add-on security vulnerability announcement[英文](Mozila Add-ons)
http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/