Mozilla Firefox の Bootstrapped アドオンの処理に起因する任意コード実行の脆弱性（Scan Tech Report）

1.概要
Mozilla Firefox に、Bootstrapped アドオンを介して任意のコードが実行可能な脆弱性が報告されました。
ユーザが Web ページに公開される悪質なアドオンをインストールした場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
現時点 (2012/4/20) では、この脆弱性を解消する Firefox バージョンは公開されていないため、解消バージョンが提供されるまでの間、以下に記載する緩和策を実施し、今後の動向に注意することを推奨します。

2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし

3.影響を受けるソフトウェア
Mozilla Firefox 4.0 - 11.0 ※

※現時点 (2012/4/20) の最新版 Mozilla Firefox 12.0b5 (ベータ版) もこの脆弱性の影響を受けます。

4.解説
Firefox 4.0 以降では、再起動が不要な拡張機能 (Bootstrapped Extensions)を利用可能な仕組みが組み込まれています。
当該機能は、XUL ベースの拡張機能とは異なり、アドオンマネージャで処理を完結させるため、Firefox (XULRunner) プロセスを再起動せずにアドオンを操作することが可能です。

Bootstrapped extensions:
https://developer.mozilla.org/en/Extensions/Bootstrapped_extensions

Mozilla Firefox には、Bootstrapped アドオン (.xpi) のチェックに不備があるため、ユーザが Web ページで公開される不正な Bootstrapped アドオンをインストールしてしまった場合に、任意のコードを実行可能な脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、アドオンを介して不正なプログラムやマルウェアなどをインストールし、さらなる攻撃を行う可能性があります。

なお、Firefox のデフォルトの設定では、アドオンは信頼された Web サイトからのみインストール可能であるため、ユーザが信頼されない Web サイトで公開されるアドオンのインストールを許可し、インストールした場合のみこの脆弱性の影響を受けます。

5.対策
現時点 (2012/4/20) では、この脆弱性を解消する Mozilla Firefox バージョンはリリースされていません。
このため、信頼できない Web サイトで公開されるアドオンをインストールしないことが推奨されます。

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー脅威分析センター）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html