Firefoxアドオン経由でシステム乗っ取りの脆弱性
対象の脆弱性は、ノースイースタン大学の研究者らがBlack Hat Asia 2016で発表したもの。研究者らによれば、この脆弱性は、古いアドオンプラットフォームをサポートするFirefoxの機能と、Mozilla Foundationのアドオン監視プロセスに関係したものだという。
Firefoxのエクステンションは主要ブラウザの中でも強力で、さまざまな機能が実装可能。特に初期の段階で提供されていたアドオン機能では強力な機能を利用することができた。今回発表された脆弱性は、Mozillaが実施しているアドオンの監査プロセスをすり抜けてこうした機能を利用した悪意ある処理をアドオンで実施することが可能であることを示すものとなっている。実際にこの脆弱性を悪用したアドオンは存在しないとされているが、実証サンプルも存在しているなど、実施に攻撃が可能であることが示されている。
提供元の記事
提供:
