ニュース
» 2016年04月06日 07時37分 UPDATE

Firefox、多数の拡張機能に脆弱性 ステルス攻撃で悪用の恐れ

米大学の研究チームによると、Firefoxで広く使われている拡張機能の大多数に「拡張機能再利用」と呼ばれる脆弱性が存在する。

[鈴木聖子,ITmedia]

 WebブラウザのFirefoxで広く使われている拡張機能の大多数に「拡張機能再利用」と呼ばれる脆弱性が存在し、不正な拡張機能を使った攻撃に利用される可能性があるという研究結果を、米ノースイースタン大学の研究チームが発表した。

ffxexvalnr001.jpg 脆弱性の悪用イメージ(報告書より)

 この研究はシンガポールで開かれたセキュリティカンファレンスの「Black Hat Asia 2016」で発表された。拡張機能ではcookieや履歴、パスワードといった情報にアクセスできることもあり、正規の拡張機能が攻撃されればユーザーに重大なセキュリティリスクをもたらしかねないと解説している。

 拡張機能再利用の脆弱性は、Firefox拡張機能のアーキテクチャではシステム上にインストールされたJavaScript拡張機能が全て同じJavaScript名前空間を共有していることに起因する。このため不正な拡張機能が他の拡張機能の機能を起動させたり手を加えたりできてしまう「名前空間汚染」の問題が発生する。

 研究チームではこの問題がセキュリティに及ぼす影響を調べ、一見無害な拡張機能を使って他の正規の拡張機能のセキュリティ上重大な機能を再利用し、ユーザーに対するステルス攻撃を仕掛けられることを実証した。

 この手口を使った不正な拡張機能は、現在の審査プロセスでは発見されにくいといい、研究チームは人気拡張機能「NoScript」の脆弱性を突くサンプル拡張機能を開発し、審査プロセスを通過できてしまうことも実証したとしている。

 Firefoxで使われている上位10本の拡張機能について詳しく調べたところ、10本中9本に悪用可能な脆弱性が発見された。上位2000の拡張機能から無作為に抽出した拡張機能についても調べた結果、何百万ものユーザーがダウンロードしている拡張機能に悪用可能な拡張機能再利用の脆弱性が相当数見つかったという。

ffxexvalnr002.jpg 人気拡張機能の脆弱性状況(同)

 Mozillaは最近になって、拡張機能開発のための代替フレームワーク「Add-on SDK」を提供するJetpacプロジェクトを展開し、レガシー拡張機能に関連したセキュリティ問題の一部に対処した。しかし人気拡張機能の大多数が依然としてレガシーフレームワークを使っているほか、レガシー開発技術とAdd-on SDKを併用している拡張機能も多数存在すると研究チームは指摘している。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ