mozillaZine: マルウェア作者が Mozilla をターゲットに、開発者は保護手段で対抗

2004年7月14日(水) 0時7分 by level
B ?

mozillaZine-JT に予約を入れて翻訳を始めて、いざアップロードしようとしたら、実は予約の書き込みはプレビューしかしておらず、そのあいだに Ryuji さんに予約を入れられてしまいました :-(。没にするにはもったいない分量だし、最近話題のセキュリティーの話題であるのでここに載せておきます。

なお、記事中にあるホワイトリスト機能は、Mozilla 1.7 や Firefox 0.9 では UI がないということで無効にされているようです。(参考:MinuteDesign

マルウェア作者が Mozilla をターゲットに、開発者は保護手段で対抗

過去数ヶ月の間、多くのマルウェア(ウィルスやスパイウェアを含む悪意あるソフトウェア)が Mozilla ユーザをターゲットにし始めていることが明らかになってきた。今のところ攻撃者がユーザの同意無しにソフトウェアをインストールする XPI インストールメカニズムの脆弱性を利用しているとは信じられないが、いくつかのサイトは、多くのユーザがダイアログを出なくするためにインストールを許可することを利用して、ページがロードされたときに XPI をインストールするよう繰り返し問い合わせるトリックを試みている。

幸いなことに、最近の Mozilla ベースのブラウザのユーザはこのような種類の攻撃に対して防御するように設計されたいくつかの新しいセキュリティの保護手段を楽しんでいる。1.7 リリースサイクルでは、Daniel Veditz がページロードにより起動する XPI インストールをブロックするパッチを開発した。これはサイトを訪問するや否やあらわれるソフトウェアのインストールダイアログを予防する (bug 238684)。同じリリースサイクルの遅くに、インストール許可を問い合わせることを許すサイトのホワイトリストが実装された (bug 240552)。Mozilla 1.7 のデフォルトのホワイトリストは mozilla.org, mozdev.org それに texturizer.net (Firefox HelpThunderbird Help のホーム) に設定されている。Mozilla Firefox 0.9 は update.mozilla.org だけを許可している(しかしこれは mozilla.org 全体に拡大された)。

最も最近の Firefox ナイトリーは XPI インストールを管理するユーザインタフェースを持っている。もし、ユーザがホワイトリストにないサイトからソフトウェアをインストールしようとすると、コンテンツエリアの上部に薄いアプリケーションの操作を妨げない(non-modal)黄色いバーが現れ、インストールがブロックされたことをユーザに教えてくれる (bug 241705)。必要であればユーザはボタンによりそのサイトをホワイトリストに登録することができる。Windows XP サービスパック 2 ベータリリース のテスターは、同じような黄色いバーを見つけるだろう。: これはほとんど ActiveX コントロールがブロックされたときの新しい Internet Explorer インフォメーションバー の丸写しだ。この機能を試すために Firefox 1.0 を待ちきれないならば、0.9 ブランチのナイトリービルドを入手しよう。ただし、バグがあるかもしれないことを忘れずに。

[ 原文 | mozillaZine-JT / 2004年7月12日(月) ]

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。