パスワードを忘れた? アカウント作成
12680264 story
セキュリティ

セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性 14

ストーリー by headless
セキュリティ企業がChromiumをフォークして開発し、自社のセキュリティソフトとともにインストールする「セキュアな」Webブラウザの中には重大なセキュリティー上の欠陥を含むものがあるようだ。GoogleのProject Zeroでは、Comodoの「Chromodo Private Internet Browser」とAvastの「SafeZone」で発見した脆弱性をGoogle Security Researchで公表した。なお、これらの問題についてはComodoとAvastがそれぞれ修正版をリリースしている。

ChromodoはComodo Internet Securityと同時にインストールされ、既定のWebブラウザに設定される。ComodoはChromodoについて、最高レベルのスピードとセキュリティ、プライバシーと説明しているが、ChromodoはWebセキュリティを無視して同一生成元ポリシーを無効化しているのだという。Project ZeroのTavis Ormandy氏は、新しいウインドウで開いた別のWebサイトのCookieを読み取って表示する実証コードを作成している(Google Security Research — Issue 704The Registerの記事Neowinの記事)。

Comodoは修正版をリリースしたものの、実証コードが動作しなくなるようにしただけで根本的な修正は行われていないという。そのため、Ormandy氏はとりあえず修正済みとして公表し、正しく修正されていない点を新しいバグとして登録したとのことだ。

一方、SafeZoneは「Avastium」とも呼ばれ、Avastの有料版セキュリティ製品で利用できる機能のようだ。SafeZoneの問題は攻撃者がファイルシステム上のすべてのファイルを読み取り可能になる点だ。ファイルリストを取得できるため、パスやファイル名を知っている必要もない。また、認証された任意のHTTPリクエストを送信し、レスポンスを読み取ることが可能だという。これにより、攻撃者は電子メールを読んだり、ネットバンキングを操作したりといったことが可能になるという(Google Security Research — Issue 679Avastの更新情報The Registerの記事)。

これらの問題があるのはSafeZoneだが、AvastSvc.exeがlocalhostに作成するRPCエンドポイントがWebからアクセス可能となっており、攻撃者は任意のWebブラウザからSafeZoneを起動できる。そのため、ユーザーがSafeZoneを使用している必要はないとのこと。

この件はAvastが修正版をリリースしたため、修正済みの脆弱性として内容が公表された。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年02月06日 17時44分 (#2960674)

    スマホアプリでWebViewがどんだけ適当な使われ方されているのかとか想像しただけで寒気が

    • むしろスマホベンダがどうWebViewをカスタマイズしているかが怖い。でも最近はGoogleがPlayストアでWebViewを直で配信しているからカスタマイズしているところはあまりないかな…?

      親コメント
      • by Anonymous Coward

        サンムスンとかサムスンとか(User-AgentだけChromeのふるをするという悪質さ)

    • by Anonymous Coward

      「実務フローの理解や硬いコードを書ける実績信用や新規分野のアイデア」の無いソフトウェア企業が手掛けるのがコンシューマ向けセキュリティだからのう

  • Googleに情報を発信しない軽量でセキュアなブラウザです!

    …という売り文句もこういう事で信用無くしてくよね

    • by Anonymous Coward

      「脆弱性の無いソフトウェアです!」と謳ってたわけでもあるまいし…。

      • by Anonymous Coward

        デバッグコストを削減するためのうたい文句ですね

  • by Anonymous Coward on 2016年02月06日 18時46分 (#2960696)

    Privdog [google.co.jp]でやらかしている
    Comodo Internet Securityが
    最高レベルのセキュリティ、プライバシー???
    なかなかのブラックジョークだ

    # 実証コードもお手のものだったろうさ

  • by Anonymous Coward on 2016年02月06日 17時51分 (#2960677)

    部門名てつけなくてもいいんですね。
    つける決まりになってるもんだとばかり。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...