Mozillaサイトに悪質なアドオン、パスワード流出の恐れ

パスワードを盗み出す悪質なアドオンが見つかったほか、別のアドオンには脆弱性があることが分かった。

[ITmedia]

　Firefoxブラウザ提供元のMozillaは、パスワードを盗み出す悪質なアドオンがMozillaのアドオンサイトに掲載されていたことが分かり、無効にする措置を取ったことを明らかにした。これとは別に、脆弱性のあるアドオンも見つかっている。

　Mozillaによると、悪質なアドオン「Mozilla Sniffer」は6月6日に「addons.mozilla.org」のサイトにアップロードされた。その後、Webサイトへのログイン情報を傍受して、外部に送信していることが分かったという。このためMozillaは7月12日付でこのアドオンを無効にし、ブロックリストに追加してユーザーにアンインストールを促す措置を取った。

　同アドオンはこれまでに約1800回ダウンロードされ、現時点で334人のユーザーが日常的に利用しているという。インストールしていたユーザーはできるだけ早くパスワードを変更するようMozillaは促している。

　問題のアドオンはMozillaが開発したものではなく、実験段階にあるものとして警告付きで提供されていたとMozillaは強調している。しかしこうした事態の再発を防ぐために新しいセキュリティモデルの導入に着手し、今後はすべてのアドオンがMozillaのサイトに表示される前に、コードを検証すると表明した。

　一方、脆弱性が見つかったのは「CoolPreviews」というアドオンのバージョン3.0.1。細工を施したリンクの上にカーソルを置くと、プレビュー機能によってリモートのJavaScriptコードが実行される恐れがあるという。コンセプト実証コードも公開されている。

　こちらは現時点で17万7000人のユーザーがインストールしているという。Mozillaは開発者に連絡を取った上でバージョン3.0.1を無効にし、更新版の導入を促す措置を取っている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら