パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性」記事へのコメント

  • by Anonymous Coward

    >Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
    >今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
    >自動的にChromeにインストールされるという

    つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。

    • by Anonymous Coward

      Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。

      • by Anonymous Coward

        ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。

        「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。

        • by Anonymous Coward

          受け入れる動作なんて、簡単に乗っ取れるわけで。

          • by Anonymous Coward

            それを脆弱性といわずして何と呼ぶのだ。

            • by Anonymous Coward on 2016年01月03日 15時49分 (#2943717)

              それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。
              動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。

              まあ、同じ脆弱性はMacにもLinuxにもあるけどね。

              親コメント
              • by Anonymous Coward

                dockerとかsnappyならそういう問題は解決できます。

              • by Anonymous Coward

                セキュリティソフトとブラウザを別の環境にインストールすんの?
                それってそもそもセキュリティソフト入れる意味あるの?

日々是ハック也 -- あるハードコアバイナリアン

処理中...