パスワードを忘れた? アカウント作成
12638425 story
Chrome

セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 34

ストーリー by hylom
オープンソースを嫌っていそうだ 部門より
あるAnonymous Coward 曰く、

セキュリティソフトウェアベンダーAVGが提供するGoogle Chrome向け拡張に脆弱性があったそうだ(CNET Japan)。

この脆弱性により、ユーザーのWeb閲覧履歴や個人情報などが盗み取られる可能性があるという。AVGはアップデートをリリースしたとのこと。この問題についての詳細について本の虫で紹介されているが、Googleは以前より悪意のあるChrome拡張からユーザーを保護するため、Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが(過去記事)、今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると自動的にChromeにインストールされるという。

問題となった脆弱性は、この拡張が提供するJavaScript APIにあるとのこと。AVG側は問題のあるAPIを第三者が実行できないように修正を行ったとのことだが、この修正内で使われている正規表現が不適切で、「avg.com」という文字列を含むドメイン名を利用することでこの制限を迂回できてしまうという。

2015年には、このようなWebブラウザ関連のセキュリティソフトによる問題として金融機関が利用を推奨するセキュリティソフトでの非互換性問題ノートンのFirefox向けツールバーで互換性問題などが発生していた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年01月03日 16時42分 (#2943738)
    http://cpplover.blogspot.jp/2015/12/avgchrome.html [blogspot.jp] このサイトで言われているように肝心要のAVGのサイトがクロスサイトスクリプティング脆弱性あっていくら正規表現が正確でも意味が無い状態になってて激しく真顔。そもそもどんなルートでインストールしたのか……。開発者用機能無理矢理有効にしたりしたん?
  • by Anonymous Coward on 2016年01月03日 11時12分 (#2943645)

    >Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
    >今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
    >自動的にChromeにインストールされるという

    つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。

    • by headless (41064) on 2016年01月05日 2時09分 (#2944179)
      過去記事の話はChrome Web Store以外でホストされている拡張機能をインストールできないようになったということで、「AVG Web TuneUp」はChrome Web Storeでホストされている拡張機能です。また、Chromeには該当ページに移動しなくてもWeb Storeから拡張機能をインストールできるインラインインストール [security.srad.jp]の仕組みが用意されており、Ars Technicaの記事 [arstechnica.com]によればAVG Web TuneUpはインラインインストールを利用していたようです。また、インストール前に確認画面が2回表示されており、強制的にインストールされていたわけではないとのことです。
      親コメント
    • by Anonymous Coward

      Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。

      • by Anonymous Coward

        ウェブストア経由以外のソフトは有用な拡張でも悪意ある拡張と認定して
        アップデート毎にウェブストアにあるかをチェックして、なければ強制アンインストールするぐらいの強硬策取れば
        よほど邪悪なソフト以外従うのでは?

      • by Anonymous Coward

        ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。

        「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。

        • by Anonymous Coward

          受け入れる動作なんて、簡単に乗っ取れるわけで。

          • by Anonymous Coward

            それを脆弱性といわずして何と呼ぶのだ。

            • by Anonymous Coward

              きじゃくしょう?

            • by Anonymous Coward

              つまり拡張機能のないEdgeだけが脆弱性のないブラウザなんだよ!
              GoogleはWindows版には脆弱性機能である拡張機能を搭載し、Android版には搭載しなかったのは、つまりそういうことなんだよ!
              Appleはそれがわかっていたから、脆弱性を防止するためにサードパーティーのウイルス対策ソフトを認めていないのさ。

              ってことですよね?

              • by Anonymous Coward

                エッジは未搭載状態なだけでこれから…

              • by Anonymous Coward

                NSAの陰謀に違いない

            • by Anonymous Coward

              それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。
              動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。

              まあ、同じ脆弱性はMacにもLinuxにもあるけどね。

              • by Anonymous Coward

                dockerとかsnappyならそういう問題は解決できます。

              • by Anonymous Coward

                セキュリティソフトとブラウザを別の環境にインストールすんの?
                それってそもそもセキュリティソフト入れる意味あるの?

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      ……こんなコメントを見た時、どういう顔をすればいいのかわからないの

    • by Anonymous Coward

      Chromeのいう「Chromeウェブストア経由でのみ拡張をインストールできるようにしている」とは、
      「かつてはウェブストア以外でも野良拡張をインストールできたが、それができないようになった」ということであって、
      もちろん今回のように内部から改ざんを受けた場合にそれを防げるなどとは言っていない。
      ウェブストア経由以外に一切の方法がないなどと文字通り解釈して「Chromeの脆弱性」とか言い出すとか、
      文章を読むときはちゃんとその背景を理解して空気を読みましょうとしか言いようがない。

      「百人乗っても大丈夫!」「体重250キロの相撲取りが100人が上で飛び跳ねたら耐えられないだろ。誇大広告じゃん」
      小学生か。普通は言わなくてもわかるが、もちろん標準的な体重の人間での話だ。常識で考えろ。
      「ウェブストア以外からはインストール出来ないから安全」「内部から改ざんを受けたらダメだろ。脆弱性じゃん」
      小学生か。普通は言わなくてもわかるが、もちろん野良拡張を禁止したという話だ。常識で考えろ。

      • by Anonymous Coward

        >もちろん野良拡張を禁止したという話だ。
        禁止したはずの野良拡張とやらをインストールできる脆弱性が見つかったという話です。

        • by Anonymous Coward

          これが脆弱性なんだとしたらセキュリティソフトなんて必要ない環境だよ

        • by Anonymous Coward

          禁止というのは「してはいけない」という意味でしょう?日本語の解釈がおかしいのではないでしょうか

      • by Anonymous Coward

        空気を読めで物事がすべてすむなら、もっと世の中は平和でいいはずなんだがな。

        「そんなことドキュメントに書いてなくても考えれば分かるだろ、空気読め!」とか仕事が楽になりそうだ。

        むしろ文字などいらない世界か。より認識し合える人類的な?

  • by Anonymous Coward on 2016年01月04日 4時25分 (#2943832)

    トロイの木馬じゃないですか。

  • by Anonymous Coward on 2016年01月04日 17時45分 (#2944023)

    今時のセキュリティベンダーなんてろくな会社が無い
    形骸化して営業で食ってるようなとこばかりで技術者はどこに?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...