Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Firefox公式サイトにログイン情報を盗聴するアドオン - 約1800回のダウンロード

米Mozillaは、同社のブラウザ「Firefox」の機能を拡張するアドオン紹介サイトに、ログイン情報を盗聴する悪質なアドオンが登録されていたことを明らかにした。現在は無効化されている。

問題のアドオンは、6月6日にサイトに登録された「Mozilla Sniffer」。同アドオンには、あらゆるウェブサイトへ送信されるログイン情報を盗聴し、リモートサーバへ送信するコードが含まれていることが、7月12日に発覚した。サイトへの掲載を取りやめ、アドオンを自動的に無効化するブロックリストに追加するなどの対応が行われている。

同アドオンは約1800回ダウンロードされており、実際の利用者は334人確認されている。盗聴したデータが送信されていたサイトはダウンしており、現在もデータが収集されているかは不明だという。

同アドオンはMozillaによるレビューを受けていない「実験的なアドオン」。掲載時にはウイルススキャンを実施していた。今回の件を受け、悪質なコードを発見するためにMozillaではあたらしいセキュリティモデルの導入を検討している。

また、アドオン「CoolPreviews」のバージョン3.0.1に特権昇格の脆弱性が発見され、脆弱性を修正した最新版が公開された。特別な細工がされたリンクにカーソルを当てると、リモートで悪質なJavaScriptコードが実行されるおそれがあるという。

同社ではユーザーに対し、速やかに最新版へ更新するよう呼びかけている。なお、これら2つのアドオンについては、日本向けのアドオン紹介サイトには掲載されていない。

(Security NEXT - 2010/07/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「KRACK」をはじめ148件の脆弱性を修正 - Apple
Apple、「iOS 11.1」をリリース - 「KRACK」や「Siri」関連など脆弱性20件を修正
【訂正あり】無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響
Windows、10月パッチで「KRACK」対応済み - MS「悪用可能性低い」
カスペ、コンシューマー向け製品に新版 - OS再起動時の感染を防止
マクニカと凸版、IoT機器へのセキュアICチップ組込で協業
LINE、捜査機関に対する情報開示状況を公開
「ノートンWiFiプライバシー」の対応プラットフォームが拡充
トレンド、無料Wi-Fiの盗聴リスクを低減するアプリ - 時間や通信量制限なし
iOS向けVoIPアプリ「ShoreTel Mobility Client」に脆弱性