モジラ、パスワード盗むブラウザアドオンをブロックリストに追加

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎2010年07月16日 15時31分

 Mozilla Foundationは、あるブラウザアドオンに任意のウェブサイトに送られたログイン情報を横取りし、そのデータを別の場所に送信するコードが含まれていることを発見し、このパスワードを盗むアドオンを無効にした。

 「Mozilla Sniffer」と呼ばれる同アドオンは、米国時間6月6日に「addons.mozilla.org」にアップロードされた。「7月12日に発見された時点で、このアドオンは無効にされ、ブロックリストに追加された。これによって、現在使用しているすべてのユーザーには、このアドオンをアンインストールするよう表示される」とMozillaは説明している。

 傍受されるデータには、ユーザーのパスワードが含まれている。

 このアドオンをインストールしていると、ユーザーがパスワードフィールドのあるログインフォームを送信しようとした場合、フォームのすべてのデータが別の場所に送られる。アドオンをアンインストールすれば、この動作は停止する。このアドオンをインストールしてしまった人は、できるだけ早く各パスワードを変更すべきだ。

 Mozilla Foundationは、Mozilla Snifferは約1800回ダウンロードされ、アクティブデイリーユーザーが334人いると報告している。

 この悪質なアドオンを現在使っているすべてのユーザーには、アンインストールを勧める通知が表示される。

 Mozilla Snifferは、Mozilla Foundationによって開発されたものではなく、検証もされていない。このアドオンは「実験的」の状態にあるもので、インストールするすべてのユーザーには、このアドオンが検証されていないことを示す警告文が表示されているはずだ。未検証のアドオンに対しては、既知のウイルス、トロイの木馬、その他のマルウェアがないかどうかを調べるスキャンが行われるが、一定の種類の悪質な動作は、コードを検証しなければ発見できない。

 Mozillaはaddons.mozilla.orgに新たなセキュリティモデルを導入する計画で、このサイトで提供される前に、すべてのアドオンに対してコードの検証を行うようにする予定だ。

 またMozillaは、「CoolPreviews」と呼ばれる別のアドオンに、ユーザーをハッカーの攻撃にさらす危険のある脆弱性が存在していると述べている。

 この脆弱性は、特別に細工されたハイパーリンクを利用して悪用される恐れがある。ユーザーがそのリンクの上にカーソルを合わせると、プレビュー機能によって遠隔のJavaScriptのコードが、ローカルのchrome特権で実行され、攻撃スクリプトはホストコンピュータの制御を得ることができる。バージョン3.0.1およびそれ以前のバージョンは、すでにaddon.mozilla.orgで無効になっており、開発者に通知されてから1日以内に修正版がアップロードされ、検証された。

 「ユーザーが脆弱性のあるバージョンをインストールし、このアドオンを標的とした悪意のあるリンクをクリックすると、そのリンクのコードがローカルの特権で実行され、ファイルシステムへのアクセスを獲得し、コードのダウンロードと実行を許してしまう可能性がある」とMozilla Foundationは警告している。

 これまでに17万7000人のユーザーが脆弱性のあるバージョンのCoolPreviewsをインストールしている。Mozilla Foundationは脆弱性のあるバージョンをまもなくブロックリストに載せる予定だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]