最新 RSS Twilog 掲示板

くでんな日々や公開どう?

2008/05/18

[Mozilla] 塞がれたセキュリティホールを開けろという人々

はじめに結論を書いておきます。

  • extensions.checkUpdateSecurityをfalseにする(安全な「アドオンの更新」が提供されているか確認する設定を無効にする)ということは、一度塞がれたセキュリティホールを自らの手で開けるということである。
  • この設定項目はMozilla製品やアドオンの開発者がテストなどに用いるために存在するものと思われる。一般ユーザはこの設定を初期設定から変えるべきではない[註1]。

Firefox 3では、「アドオンの更新」を提供しているアドオンのうちで安全な「アドオンの更新」を提供していないものはインストールできなくなりました。それで、Webを見てると、Mozilla Re-MixFirefox更新情報 WikiなどのWebサイトや、それにやすっち。さん(例1例2)やGomitaさん[註2]などの人々が危険なことを他の人に薦めているので、面倒ですが[註3]この記事を書いています。

Q1:extensions.checkUpdateSecurityをfalseにする(無効にする)とどうなりますか?

A1:以下のようなことが起こり得ます。

  • あなたのコンピュータ内の重要なデータが消失する。
  • あなたのコンピュータ内から重要な個人情報が流出する。
  • あなたのコンピュータを乗っ取られ攻撃者の攻撃の踏み台にされてネットワークに繋がっている他の人々に迷惑をかける。

セキュリティホールが開いているわけですから該当のセキュリティホールを突く攻撃をされた場合は基本的に防ぎようがなくされるがままとなります。通信の経路に割りこまれるという攻撃ですから、extensions.checkUpdateSecurityをfalseに設定されていて、extensions.checkUpdateSecurityをfalseにしなくてはならないようなアドオンがインストールされているという2点の条件さえ揃えば攻撃を受ける可能性があります。アドオンの質やアドオンの作者(ベンダ)の信頼性などは関係ありません

人気のあるアドオンではユーザ数が数十万から百万を超えるものもある(「ユーザが多い拡張」の一例)ので攻撃者にとって標的として悪いものではないでしょう。また、最近ではFirebugやDownThemAll!などのよく知られたアドオンのホームページが攻撃を受けて改変されるということも実際に起こっています。

Q2:「安全な更新方法が用意されていないため、インストールされません」という警告が出てインストールできないアドオンをどうしても使いたいです!

A2:アドオンパッケージの中にあるinstall.rdf内のupdateURLの部分の記述を削除してください。それでインストールできるようになります。自分でできない場合はアドオンの開発者に連絡を取って、下の3つからいずれかの対策をするように依頼してください。

  1. 「アドオンの更新」を提供したいアドオンはMozilla Add-onsで配布する。
  2. Mozilla Add-ons以外でのアドオンの「アドオンの更新」の提供をやめる。
  3. McCoyを使うなり、「updateURLにSSL接続のURIを使う+updateHashを記載」するなりして安全な「アドオンの更新」を提供する

Q3:どのようにアドオン開発者に報告したらいいの?

A3:英語が苦手でも下記をコピー&ペーストすればとりあえず相手に意図は通じるはずです。

Securing Updates
http://developer.mozilla.org/en/docs/Extension_Versioning%2C_Update_and_Compatibility#Securing_Updates
McCoy
http://developer.mozilla.org/en/docs/McCoy

以下に簡単な経緯。

  1. Firefoxの「アドオンの更新」機能に中間者攻撃が可能であるというセキュリティホールが発見[註4]される。
  2. アドオン開発者に向けて、「アドオンの更新」を提供したい場合はMozilla Add-onsで拡張を配布するか、install.rdf内のupdateURLをSSL接続のURIに変更するよう勧告がされる。
  3. 実際にこのセキュリティーホールが攻撃に利用された例が報告される[註5]。
  4. Firefox 3で対策が取られてセキュリティホールが塞がれる。これによってinstall.rdf内にupdateURLの記述がないか、install.rdf内にupdateURLがある場合は一定の条件を満たさないとアドオンがインストールできなくなった。
  5. install.rdf内のupdateURLがSSL接続のURIではない場合でも安全に「アドオンの更新」を提供することを可能にする、アドオン開発者向けツールのMcCoyが公開される。

追記(2008年5月19日6時):

Amigomrさんがこの記事で云いたいことを一言で表現してくだすっています。

about:config 自体を編集すること自体が危険を伴うことだが、その中でも、セキュリティ関連の設定をむやみに変更することは危険だ。

 

Amigomrの徒然日記 より引用

追記(2008年5月19日19時30分):

Piroさんが言及してくだすっています。

註1:というか、標準でabout:configの設定名の一覧になかったり、設定するとアドオンマネージャに警告が表示されたりするわけだから、ちょっとした日本語理解力や警戒心や洞察力があったらこの設定変更はしないと思うんだけど……日本語言語パックのほうでこの警告の文言をもう少し強い表現に変えるというのはありかもしれない。

註2:たぶん技術的なことを理解した上でユーザを危険にさらすようなことを云っているのでこの件では一番タチが悪い一人だと思う。

註3:こんなのMozilla Japanとかもじら組とかlevelさんの領分の記事じゃないですか。私やPiroさんはこの件に関心があるから情報収集をしてるわけだけど、「アドオンを提供する立場」目線でそれを記事にするので(そりゃ当事者だからね)アドオンの一般ユーザには分かりにくい記事になるのはしょうがないです。

註4:ちなみにlevelさんの記事もあるけどコメント欄も含めて非常に誤解を招きやすい記事になっちゃってるので、注意して読む必要があります。

註5:どこかITmediaとかCNET Japanみたいな企業がやってるIT系の情報サイトで日本語の記事としてこの情報を見たんだけどリンクを忘れちゃった……情報ソースのリンクをご存知のかたは教えてください。

コメント

level 『えむもじらの記事云々の件は前半と後半とで主張がずれていることを言われていると思いますが、書いているうちに分ってきたというのが実情であり、記事には注釈を入れておきました。』 (05/19 00:12)

level 『ちなみに、意図的にセンセーショナルに書かれているとは思いますが、A1に関しては「安全な更新手段を提供していない拡張機能を利用している場合」という前提が入りますよね。また、AMOの拡張は安全であり、例にAMOの拡張機能を挙げるのはちょっとはずしているのではないでしょうか?(それとも日本語版WebDeveloperは「安全でない拡張機能」に入る?)』 (05/19 00:21)

くでん 『> 前半と後半とで主張がずれている それもありますし、はっきりというと無明さんのコメントがわりと余計です。』 (05/19 05:41)

くでん 『> 意図的にセンセーショナルに書かれている タイトルだけは少しだけ意識して厳しめにしました。』 (05/19 05:41)

くでん 『> A1に関しては「安全な更新手段を提供していない拡張機能を利用している場合」 そもそもextensions.checkUpdateSecurityを無効にしていたら、今そして将来インストールするアドオンが安全な更新手段を提供しているかいないかも分からなくなるわけで……』 (05/19 05:42)

くでん 『> 例にAMOの拡張機能を挙げる 追記しました。』 (05/19 05:42)

level 『セキュリティチェックをはずすことに私がいまいち積極的にだめだと言い切れない理由は、結局Firefox 2なみになるということだからです。Firefox 2のほうは問題発覚後1年以上放置されているわけですし、Mozillaがこの問題はたいした問題ではないと考えているととらえられても仕方ないと思います。』 (05/19 12:30)

くでん 『私もそう思わないでもないんですが、それと「じゃあ人にリスクの説明なしでセキュリティレベルを下げることを教唆してよいか?」ということとはまた別の話でしょうね。あと、ちょっと厳しい云いかたになって申しわけないのですが、人が真剣に是非の話をしているときに「私は積極的に〜」とか「私は消極的に〜」みたいな日和見したような物云いをしてはっきり自分の意見も云えないくらいなら黙っていましょうよ。』 (05/19 18:54)

くでん 『誤解のないようにつけ加えておきますが、ただ単にlevelさんのこの1回の発言に限り気になっただけで他に何ら他意はありません。』 (05/19 18:55)

くでん 『気がついたらコメント欄がすごく長くなっています。以降はなにかありましたら、掲示板のほうへよろしくお願いします。http://maguroban.s41.xrea.com/』 (05/19 19:03)

お名前 コメント