あるセキュリティ研究者によると、Firefoxのツールバーや拡張機能のアップグレードの仕組みには設計上の欠陥があるという。
あるセキュリティ研究者が、オープンソースのWebブラウザ「Firefox」のツールバーや拡張機能(エクステンション)のアップグレードシステムに設計上の欠陥が存在するとし、警告を発している。
インディアナ大学のクリストファー・ソグホイアン氏は5月30日、自らのブログで、Firefoxの拡張機能に関する脆弱性について記した。問題は、ベンダーが提供する主要な拡張機能が、SSLで暗号化された「https://」から始まるサイトから提供されていないこと。このため、中間者攻撃(Man in the Middle攻撃)を受けても、ユーザー側ではアクセス先が正しいサーバなのか、それとも偽のサーバに誘導されているのかどうかを確認することができないという。なお悪いことに、一部の拡張機能やツールバーでは、アップデートが提供されていることをユーザーに知らせずに更新を行うという。
この問題が悪用されると、ユーザーはアップデート用のサーバにアクセスしているつもりでも、気付かないうちに偽のサイトに誘導され、警告なしに悪意あるソフトウェアをインストールされる可能性がある。トロイの木馬などがインストールされれば、セッションを盗み見られ、電子メールアドレスやその他の重要な情報を詐取される恐れがあるという。
この問題が影響するのは、Firefoxを利用し、かつ「Google Toolbar」や「Yahoo Toolbar」、「Del.icio.us Extension」「Facebook Toolbar」といった商用の拡張機能/ツールバーを利用している場合だ。ソグホイアン氏はこれらはあくまで例であり、数百万ものユーザーに影響が及ぶ恐れがあると述べている。
特にリスクが大きいのは、公衆無線LANサービスのように、不特定多数が利用する信頼できないネットワークやDNSサーバを利用している場合だ。また、パスワードをデフォルトのまま変更せずに利用している家庭向け無線ルータでも、侵害され、脆弱性を突かれる恐れがあるという。
ただし、「NoScript」や「Greasemonkey」「AdBlock Plus」のようにオープンソースで作成され、Mozillaのサイト(https://addons.mozilla.org)から提供されている拡張機能については、この脆弱性は存在しない。
ソグホイアン氏は問題の緩和策として、各ベンダーが問題を修正したアップデートを提供するまでの間、Firefoxの拡張機能やツールバーを削除するか、無効にすることを推奨している。また、Firefox公式のアドオンページで提供されているものは安全なため、利用をそれらだけに限定するのも1つの手という。
同氏はこの問題について、FirefoxのセキュリティチームやGoogle、Yahoo、Facebookといった主要なベンダーに通知したが、45日経っても修正版はリリースされていないと述べている。
Copyright © ITmedia, Inc. All Rights Reserved.