Author:カロシー
はじめまして。
訪問していただき
ありがとうございます。
よかったらコメントと拍手お願いします。
Mozilla Japan ブログよりアドオンのセキュリティ脆弱性に関するお知らせ
CoolPreviews
問題
「CoolPreviews」というアドオンのバージョン 3.0.1 に特権昇格の脆弱性が発見されました。この脆弱性は特別に作り込まれたハイパーリンクが引き金となる可能性がありました。このようなリンクにマウスカーソルを当てると、プレビュー機能がリモートの JavaScript コードをローカルのクローム特権で実行し、その結果ホストコンピュータを通じて管理された攻撃スクリプトが起動されるおそれがありました。AMO では、3.0.1 とそれ以前のすべてのバージョンの掲載が中止され、開発者が問題報告を受けたその日に修正版がアップロードされ、レビューを経て公開されました。
「Mozilla Sniffer」と呼ばれるアドオンが 6 月 6 日に AMO サイトへ登録されました。このアドオンには、あらゆる Web サイトへ送信されるログインデータを傍受し、そのデータをリモートサーバへ送信するコードが含まれていることが分かりました。問題が発見されたのは 7 月 12 日で、ただちにサイトへの掲載が中止され、ブロックリストへの追加が行われました。ブロックリスト は、安全性や安定性に重大な問題があると Mozilla が判断したアドオンをすべてのユーザ環境で自動的に無効化する、Firefox のセキュリティ機能です。
http://caroccyblog.blog9.fc2.com/tb.php/596-755a3ad4
