07/06/11 18:06:45 xJsqJMa60
Firefoxの拡張機能に設計上の欠陥、「Google Toolbar」などで影響
あるセキュリティ研究者によると、Firefoxのツールバーや拡張機能のアップグレードの仕組みには設計上の欠陥があるという。
2007年05月31日 19時18分 更新
URLリンク(www.itmedia.co.jp)
あるセキュリティ研究者が、オープンソースのWebブラウザ「Firefox」のツールバーや拡張機能(エクステンション)のアップグレードシステムに
設計上の欠陥が存在するとし、警告を発している。
インディアナ大学のクリストファー・ソグホイアン氏は5月30日、自らのブログで、Firefoxの拡張機能に関する脆弱性について記した。問題は、ベンダーが提供する主要な拡張機能が、
SSLで暗号化された「https://」から始まるサイトから提供されていないこと。このため、中間者攻撃(Man in the Middle攻撃)を受けても、ユーザー側ではアクセス先が正しいサーバなのか、
それとも偽のサーバに誘導されているのかどうかを確認することができないという。なお悪いことに、一部の拡張機能やツールバーでは、アップデートが提供されていることをユーザーに
知らせずに更新を行うという。
この問題が悪用されると、ユーザーはアップデート用のサーバにアクセスしているつもりでも、気付かないうちに偽のサイトに誘導され、警告なしに悪意あるソフトウェアをインストール
される可能性がある。トロイの木馬などがインストールされれば、セッションを盗み見られ、電子メールアドレスやその他の重要な情報を詐取される恐れがあるという。
この問題が影響するのは、Firefoxを利用し、かつ「Google Toolbar」や「Yahoo Toolbar」、「Del.icio.us Extension」「Facebook Toolbar」といった商用の拡張機能/ツールバーを利用している場合だ。
ソグホイアン氏はこれらはあくまで例であり、数百万ものユーザーに影響が及ぶ恐れがあると述べている。
特にリスクが大きいのは、公衆無線LANサービスのように、不特定多数が利用する信頼できないネットワークやDNSサーバを利用している場合だ。また、パスワードをデフォルトのまま
変更せずに利用している家庭向け無線ルータでも、侵害され、脆弱性を突かれる恐れがあるという。