現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-32

Mozilla Foundation セキュリティアドバイザリ 2015-32

タイトル: アドオン軽量テーマのインストール許可が中間者攻撃を通じて回避される
重要度:
公開日: 2015/03/31
報告者: Armin Razmdjou
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 37

概要

中間者 (MITM) 攻撃者が Mozilla のサブドメインを偽装することで、ユーザによる Firefox 向け軽量テーマのインストール許可を回避できることが、セキュリティ研究者の Armin Razmdjou 氏によって発見されました。これは、軽量テーマのアドオンインストールが HTTPS の使用を必須としていなかったことが原因でした。Firefox 向け拡張機能は直接影響を受けることはなく、インストールにユーザの許可を必要とします。

参考資料