Mozillaのサイトにログイン情報を盗む悪質なアドオンが登録


Mozillaのアドオン登録サイト「addons.mozilla.org」

 Mozillaは13日、Firefoxなどの機能を拡張するアドオンとして、ログイン情報を盗み出す悪質なアドオンがMozillaのサイトに登録されていたとして、問題のアドオンを無効にしたことを明らかにした。

 発見されたアドオンは「Mozilla Sniffer」という名称で、7月6日にMozillaのアドオン登録サイトにアップロードされていた。このアドオンが、ログイン情報を盗み出し、他のサイトに情報を送信していたことがわかったため、Mozillaでは7月12日にアドオンを無効にするとともに、インストールしたユーザーに対してアンインストールを促すプロンプトを表示する措置をとった。

 Mozilla Snifferは、約1800回ダウンロードされており、情報公表時点では334人の利用者がいることが確認されている。Mozillaでは、このアドオンをインストールしようとしたユーザーには、Mozillaによるレビューが行われていない「実験的」な段階であるという警告が表示される状態となっており、レビュー前のアプリケーションについてはウイルス検査などを行っているが、今後はこうした事態を防ぐために新たなセキュリティモデルを導入するとしている。

 また、別の「CoolPreviews」というアドオンには脆弱性が発見され、ユーザーが特別に細工されたリンクにカーソルを合わせると、リモートでJavaScriptを実行させられる危険があるという。現時点で、17万7000人のユーザーがインストールしており、Mozillaでは脆弱性が発見されたバージョンのCoolPreviewsを無効にし、最新版への移行を促していく。


関連情報

(三柳 英樹)

2010/7/15 15:08