過去記事の話はChrome Web Store以外でホストされている拡張機能をインストールできないようになったということで、「AVG Web TuneUp」はChrome Web Storeでホストされている拡張機能です。また、Chromeには該当ページに移動しなくてもWeb Storeから拡張機能をインストールできるインラインインストール [security.srad.jp]の仕組みが用意されており、Ars Technicaの記事 [arstechnica.com]によればAVG Web TuneUpはインラインインストールを利用していたようです。また、インストール前に確認画面が2回表示されており、強制的にインストールされていたわけではないとのことです。
脆弱性 (スコア:0)
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Re:脆弱性 (スコア:1)