これらのアドオンを利用することにより、フォームデータがリモートサーバへ送信されたり、ファイルシステムへのアクセス権が取得される危険性があるとのことで注意が必要です。
1つめのFirefoxアドオンは、「Mozilla Sniffer」というものです。
このアドオンは6 月 6 日に AMO サイトへ登録されています。
このアドオンには、あらゆる Web サイトへ送信されるログインデータを傍受し、そのデータをリモートサーバへ送信するコードが含まれていることが分かったということで、問題が発見後ただちにサイトへの掲載が中止され、ブロックリストへの追加が行われています。
このアドオンがインストールされた Firefox で、パスワード欄を含むログインフォームを送信すると、すべてのフォームデータがリモートサーバへ送信されるというとんでもないものですが、アドオンを削除すればそれ以降データが送信されることはないとのことです。
このアドオンをインストールしていたユーザは、できるだけ早くパスワードを変更するなどの処置が必要です。
次は、比較的有名なアドオン「CoolPreviews」(バージョン3.0.1)の脆弱性に関する問題です。
発見された問題は「特権昇格の脆弱性」というもので、特別に作り込まれたハイパーリンクが引き金となる可能性があり、このようなリンクにマウスカーソルを当てると、プレビュー機能がリモートの JavaScript コードをローカルのクローム特権で実行し、その結果ホストコンピュータを通じて管理された攻撃スクリプトが起動されるおそれがあるとのことです。
現在AMO では、3.0.1 とそれ以前のすべてのバージョンの掲載が中止されています。また、開発者が問題報告を受けたその日に修正版がアップロードされ、レビューを経て公開されています。(現行版はバージョン3.10625)
CoolPreviews をインストールしているすべてのユーザは、攻撃を防ぐため、できるだけ早く最新版へ更新することが推奨されています。
AMOに掲載されているからという理由で安心してインストールしているユーザーも多いと思いますが、これだけのアドオンの数が多くなってくるとこういうこともあるんでしょうね。
とりあえず両者を利用、またはインストールされたことがあるFirefoxユーザーは注意が必要です。
参考記事:アドオンのセキュリティ脆弱性に関するお知らせ
<関連記事>
Mozilla 脆弱性により[Java Deploymente Toolkit]をブロック。
Firefox 3.5のJavaScriptエンジンに脆弱性が見つかる。