Adobe FlashやSilverlightといったプラグインの脆弱性を突く攻撃からユーザーを守る「click-to-play blocklisted」がFirefox β版に登場した。
MozillaのWebブラウザ「Firefox」の新しいセキュリティ機能として、Webサイト上のプラグインを自動ではなくユーザーのクリックによって読み込ませるようにした「クリック・トゥ・プレイ」方式と、危険なアドオンやプラグインを無効化する「ブロックリスト」を組み合わせた「click-to-play blocklisted」プラグインが、β版に登場した。
Mozillaのセキュリティブログによると、click-to-play blocklistedのプラグインは、Adobe FlashやSilverlightといったプラグインの脆弱性を突いたドライブバイ攻撃(Webサイトを見ただけでマルウェアに感染させる手口)からユーザーを守る目的でβ版に実装され、デフォルトで有効になっている。
ブロックリストの安全性と、クリック・トゥ・プレイの柔軟性を組み合わせることにより、ユーザーは古いプラグインでも自動的に実行してしまう「危険だが便利」な対処法を取るか、それとも古いプラグインを完全に無効化する「安全だが不便」な対処法を取るかの選択を迫られずに済むとMozillaは説明。現在の行動に応じて、情報を得た上で対応を決められるようになるとしている。
例えば、何か事情があってプラグインをアップデートできない場合でも、大手の動画共有サイトなら、コンテンツを見るために脆弱性のあるプラグインを有効にしても安全だと判断する場合もある。
一方、例えば友人の名で送られてきたリンク先のサイトが信頼できるかどうか分からないような場合、プラグインは自動的に実行されず、ユーザーは保護されるとしている。
Webブラウザのプラグインは、数の多さや管理の複雑さなどの問題から、脆弱性のあるバージョンが更新されないまま放置されていることも多く、ドライブバイ攻撃などが横行する原因となっている。
Copyright © ITmedia, Inc. All Rights Reserved.