Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Firefox公式サイトにログイン情報を盗聴するアドオン - 約1800回のダウンロード

米Mozillaは、同社のブラウザ「Firefox」の機能を拡張するアドオン紹介サイトに、ログイン情報を盗聴する悪質なアドオンが登録されていたことを明らかにした。現在は無効化されている。

問題のアドオンは、6月6日にサイトに登録された「Mozilla Sniffer」。同アドオンには、あらゆるウェブサイトへ送信されるログイン情報を盗聴し、リモートサーバへ送信するコードが含まれていることが、7月12日に発覚した。サイトへの掲載を取りやめ、アドオンを自動的に無効化するブロックリストに追加するなどの対応が行われている。

同アドオンは約1800回ダウンロードされており、実際の利用者は334人確認されている。盗聴したデータが送信されていたサイトはダウンしており、現在もデータが収集されているかは不明だという。

同アドオンはMozillaによるレビューを受けていない「実験的なアドオン」。掲載時にはウイルススキャンを実施していた。今回の件を受け、悪質なコードを発見するためにMozillaではあたらしいセキュリティモデルの導入を検討している。

また、アドオン「CoolPreviews」のバージョン3.0.1に特権昇格の脆弱性が発見され、脆弱性を修正した最新版が公開された。特別な細工がされたリンクにカーソルを当てると、リモートで悪質なJavaScriptコードが実行されるおそれがあるという。

同社ではユーザーに対し、速やかに最新版へ更新するよう呼びかけている。なお、これら2つのアドオンについては、日本向けのアドオン紹介サイトには掲載されていない。

(Security NEXT - 2010/07/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

複数メーカーの「ATM」に脆弱性 - 預金不正引出や乗っ取りのおそれ
Wi-Fi利用者や提供者向けセキュガイドラインに改訂版 - 総務省
DrayTek製複数ネットワーク機器に深刻な脆弱性 - すでに悪用も
Cisco製OSやVoIP製品などに脆弱性「CDPwn」が判明 - 数千万台に影響か
複数金融機関が採用するネットバンクアプリに脆弱性
セブンイレブン向けネットプリントアプリに脆弱性
米国家安全保障局、Windowsの脆弱性に警鐘 - 情報漏洩やファイル偽装のおそれ
「変なホテル」の客室ロボに脆弱性 - SNS投稿で明らかに
クラウドセキュ市場、今後5年で2.4倍に
GPSトラッカー約30機種に脆弱性 - 位置情報流出や不正操作のおそれ