モジラ、パスワード盗むブラウザアドオンをブロックリストに追加

　Mozilla Foundationは、あるブラウザアドオンに任意のウェブサイトに送られたログイン情報を横取りし、そのデータを別の場所に送信するコードが含まれていることを発見し、このパスワードを盗むアドオンを無効にした。

　「Mozilla Sniffer」と呼ばれる同アドオンは、米国時間6月6日に「addons.mozilla.org」にアップロードされた。「7月12日に発見された時点で、このアドオンは無効にされ、ブロックリストに追加された。これによって、現在使用しているすべてのユーザーには、このアドオンをアンインストールするよう表示される」とMozillaは説明している。

　傍受されるデータには、ユーザーのパスワードが含まれている。

　このアドオンをインストールしていると、ユーザーがパスワードフィールドのあるログインフォームを送信しようとした場合、フォームのすべてのデータが別の場所に送られる。アドオンをアンインストールすれば、この動作は停止する。このアドオンをインストールしてしまった人は、できるだけ早く各パスワードを変更すべきだ。

　Mozilla Foundationは、Mozilla Snifferは約1800回ダウンロードされ、アクティブデイリーユーザーが334人いると報告している。

　この悪質なアドオンを現在使っているすべてのユーザーには、アンインストールを勧める通知が表示される。

　Mozilla Snifferは、Mozilla Foundationによって開発されたものではなく、検証もされていない。このアドオンは「実験的」の状態にあるもので、インストールするすべてのユーザーには、このアドオンが検証されていないことを示す警告文が表示されているはずだ。未検証のアドオンに対しては、既知のウイルス、トロイの木馬、その他のマルウェアがないかどうかを調べるスキャンが行われるが、一定の種類の悪質な動作は、コードを検証しなければ発見できない。

　Mozillaはaddons.mozilla.orgに新たなセキュリティモデルを導入する計画で、このサイトで提供される前に、すべてのアドオンに対してコードの検証を行うようにする予定だ。

　またMozillaは、「CoolPreviews」と呼ばれる別のアドオンに、ユーザーをハッカーの攻撃にさらす危険のある脆弱性が存在していると述べている。

　この脆弱性は、特別に細工されたハイパーリンクを利用して悪用される恐れがある。ユーザーがそのリンクの上にカーソルを合わせると、プレビュー機能によって遠隔のJavaScriptのコードが、ローカルのchrome特権で実行され、攻撃スクリプトはホストコンピュータの制御を得ることができる。バージョン3.0.1およびそれ以前のバージョンは、すでにaddon.mozilla.orgで無効になっており、開発者に通知されてから1日以内に修正版がアップロードされ、検証された。

　「ユーザーが脆弱性のあるバージョンをインストールし、このアドオンを標的とした悪意のあるリンクをクリックすると、そのリンクのコードがローカルの特権で実行され、ファイルシステムへのアクセスを獲得し、コードのダウンロードと実行を許してしまう可能性がある」とMozilla Foundationは警告している。

　これまでに17万7000人のユーザーが脆弱性のあるバージョンのCoolPreviewsをインストールしている。Mozilla Foundationは脆弱性のあるバージョンをまもなくブロックリストに載せる予定だ。