Firefoxの拡張機能に設計上の欠陥、「Google Toolbar」などで影響

あるセキュリティ研究者によると、Firefoxのツールバーや拡張機能のアップグレードの仕組みには設計上の欠陥があるという。

[ITmedia]

　あるセキュリティ研究者が、オープンソースのWebブラウザ「Firefox」のツールバーや拡張機能（エクステンション）のアップグレードシステムに設計上の欠陥が存在するとし、警告を発している。

　インディアナ大学のクリストファー・ソグホイアン氏は5月30日、自らのブログで、Firefoxの拡張機能に関する脆弱性について記した。問題は、ベンダーが提供する主要な拡張機能が、SSLで暗号化された「https://」から始まるサイトから提供されていないこと。このため、中間者攻撃（Man in the Middle攻撃）を受けても、ユーザー側ではアクセス先が正しいサーバなのか、それとも偽のサーバに誘導されているのかどうかを確認することができないという。なお悪いことに、一部の拡張機能やツールバーでは、アップデートが提供されていることをユーザーに知らせずに更新を行うという。

　この問題が悪用されると、ユーザーはアップデート用のサーバにアクセスしているつもりでも、気付かないうちに偽のサイトに誘導され、警告なしに悪意あるソフトウェアをインストールされる可能性がある。トロイの木馬などがインストールされれば、セッションを盗み見られ、電子メールアドレスやその他の重要な情報を詐取される恐れがあるという。

　この問題が影響するのは、Firefoxを利用し、かつ「Google Toolbar」や「Yahoo Toolbar」、「Del.icio.us Extension」「Facebook Toolbar」といった商用の拡張機能／ツールバーを利用している場合だ。ソグホイアン氏はこれらはあくまで例であり、数百万ものユーザーに影響が及ぶ恐れがあると述べている。

　特にリスクが大きいのは、公衆無線LANサービスのように、不特定多数が利用する信頼できないネットワークやDNSサーバを利用している場合だ。また、パスワードをデフォルトのまま変更せずに利用している家庭向け無線ルータでも、侵害され、脆弱性を突かれる恐れがあるという。

　ただし、「NoScript」や「Greasemonkey」「AdBlock Plus」のようにオープンソースで作成され、Mozillaのサイト（https://addons.mozilla.org）から提供されている拡張機能については、この脆弱性は存在しない。

　ソグホイアン氏は問題の緩和策として、各ベンダーが問題を修正したアップデートを提供するまでの間、Firefoxの拡張機能やツールバーを削除するか、無効にすることを推奨している。また、Firefox公式のアドオンページで提供されているものは安全なため、利用をそれらだけに限定するのも1つの手という。

　同氏はこの問題について、FirefoxのセキュリティチームやGoogle、Yahoo、Facebookといった主要なベンダーに通知したが、45日経っても修正版はリリースされていないと述べている。