hylomによる
2010年02月08日 19時12分の掲載
公式アドオンサイトからのダウンロードでも安心できない?部門より
公式アドオンサイトからのダウンロードでも安心できない?部門より
i12bhdn 曰く、
CNET Japanの記事によると、2月4日、Firefoxのアドオン提供サイト「Add-ons for Firefox」でマルウェアを含むアドオンが発見されたとのこと。問題のアドオンは「Sothink Web Video Downloader 4.0」と、「Master Filer」の全バージョン。これらのアドオンの公開はすでに取り下げられている。
Firefoxを利用しているWindowsユーザーはご注意を。
これらのマルウェアが故意に混入されたのかどうかは不明。
前々から言われてきたことだが。 (スコア:3, 興味深い)
Firefoxのアドオンが、IEのActiveXコントロールと同様の危険性を持っているといったような指摘は、以前からいくつかありました*が、ついに出たといった感じでしょうか。
今後もこういうのは増えてくると思うけど「拡張をインストールしない」以外にどうにか対処できないのかなぁ。
拡張ごとに許可する動作を設定できるようにするとか、無理かなぁ?
例えば、マウスジェスチャ拡張が全ローカルファイルへのアクセス権持ってる必要はないとか。
インターネットアクセスを、事前に設定された、スクリプトからの変更が不可能なURLからのGETに限定し回数制限も付ければ、こちらからの情報の送信は難しくなるとか。
以前あった指摘の一例
http://slashdot.jp/comments.pl?sid=226416&threshold=1&comments... [slashdot.jp]
http://slashdot.jp/comments.pl?sid=267223&threshold=1&comments... [slashdot.jp]
http://slashdot.jp/comments.pl?sid=275373&cid=798707 [slashdot.jp]
http://slashdot.jp/comments.pl?sid=362075&cid=1159789 [slashdot.jp]
1を聞いて0を知れ!
コメントを書く
Re:前々から言われてきたことだが。 (スコア:2, 興味深い)
Chromeに乗り換えたら? (半分以上本気)
もっともChrome拡張でもリンクをすべてアフィリエイト付きに差し替えるくらいのことは余裕でできますけど。それでもレビューの負荷はFirefoxの拡張と比べものにならないでしょう。
いかなる悪意のある動作も行えないようにするのは、FTPクライアントやWebブラウザと同じ権限で動作しているマルウェアから、保存しているパスワードを盗まれないようにするのと同じくらい不可能です。
Firefoxのアドオンを現行の仕組みを保ったまま安全にするのも、Windowsアプリをアンマネージのまま安全にするのと同じくらい不可能です。Windows Vistaがコードネームで呼ばれていた時代の夢想では、今ごろアプリはすべてマネージコードになってバッファオーバフローやヒープオーバーフローや整数オーバーフローやformat stringなどの攻撃は過去のものになるはずだったのでしょうが、どうしてこうなった。
> 拡張ごとに許可する動作を設定できるようにするとか、
Jetpackでそのような仕組みを導入すべきだとpiro氏が力説しています [sakura.ne.jp]が、2年前ならともかく、「Chromeに勝たなければならない」という条件下でうまく行くとは思えませんね。
コメントを書く
親コメント
それで (スコア:1)
今までどうしてたんでしょうね。
きちんと何かのセキュリティソフトを使っていて検知できていたのか、
全然気づかずにそのまんま使用していた(もしくは現在進行形で使用している?)のか。
仮にウィルスに気づいた人がいたとしても、そこからMozillaにフィードバックが
きちんと行ったかというと多分行かなかったんだろうなー。
#憶測。
コメントを書く
Re:それで(オフトピ) (スコア:5, 参考になる)
中国製で且つGPLライセンス違反によるものだったあたり、さもありなん
という感じでしょうか・・・
FlashGotとSothink: ライセンス違反の一事例 [sourceforge.jp]
コメントを書く
親コメント
Sothink Web Video Downloader4.0とdownloadhelper4.7 (スコア:1)
先日、常用していたアドオンMitterが、Fx3.6にした際に直前のバージョンから不安定だったものがとうとう起動しなくなったので、代替としてdownloadhelperと言うアドオン見付けて試しに入れてみたのですが・・・同じ目的&似た名前で一瞬ぎょっとしました。
私はウイルスバスターなので、勘違いして恨む気持ちもありましたが・・・無実の罪で正直スマンカッタと思う。
コメントを書く
Re:ザルチェック (スコア:1)
ってどこに書いてあります?
Mozillaのサイトでも、「作者を信頼しているアドオン以外はインストールしないでください」と注意書きありますよ。
ザルとかじゃなく、そんな安全性を担保した配布サイトではないです。
コメントを書く
親コメント
Re:ザルチェック (スコア:1, 参考になる)
私は、今回の件に関して言えば、AMOだけでなく、Firefoxの脆弱性でもあると思います。
作者にある程度スキルがあれば、スキャンに引っかからないマルウェアも作れるでしょうが、今回はスキャンで発覚したわけですから、AMOが怠慢を言われるのは致し方のないところでしょう。ただ、別にスキャンしていなかったわけではなく、そいつに引っかからなかっただけなので、そこまで責められないかな、と。使っていたアンチウィルスソフトの名前を公表して欲しいとは思いますけど。
問題は、Firefox自身がマルウェアを関知できなかったことです。Windows版に限って言えば、ダウンロード終了後にFirefox自身がウィルススキャンのAPIを呼び出します。だから、普通にダウンロードしていれば、アンチウィルスソフトをインストールしてあるマシンでは分からないはずはないんですが、XPInstallに限ってそれがスルーされていた、ってのがちょっとお粗末かな、と。
コメントを書く
親コメント
Re:マルウェア検知ってFirefoxに内蔵されているわけじゃなかったのか (スコア:4, 参考になる)
そうですよ。具体的に言うと、ダウンロード直後にIAttachmentExecute::CheckPolicyでグループポリシーを確認しています。その際にOS側(+アンチウィルスソフト)がスキャンしています。
http://mxr.mozilla.org/mozilla-central/source/toolkit/components/downl... [mozilla.org]
http://msdn.microsoft.com/en-us/library/bb776294(VS.85).aspx [microsoft.com]
http://support.microsoft.com/kb/914922 [microsoft.com]
ただし、レジストリのScanWithAntiVirusをオフにしている場合はスルーされます。
http://support.microsoft.com/kb/883260 [microsoft.com]
LinuxにもこういうAPIがあればいいんですけど、どうも、OS側でサポートしようっていう動きは見当たりませんね。実質的にClamAVの独占状態だから、標準化するモチベーションが低いんですかねぇ。
コメントを書く
親コメント
Re:AnyTimeThinkとよばれるものなので (スコア:1)
スルー力が足りないので、このコメントに引っかかってしまった。
うーん、うーん、AnyTimeThinkなんてぐぐってもさっぱり分からない。
だれか、このACさんによる謎のメッセージを解読してください。
コメントを書く
親コメント
Re:これもWindowsのみに影響する問題だね (スコア:1)
これだけ挑発されても他OS向けが出回らないのは不思議。
コメントを書く
親コメント