セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 34
ストーリー by hylom
オープンソースを嫌っていそうだ 部門より
オープンソースを嫌っていそうだ 部門より
あるAnonymous Coward 曰く、
セキュリティソフトウェアベンダーAVGが提供するGoogle Chrome向け拡張に脆弱性があったそうだ(CNET Japan)。
この脆弱性により、ユーザーのWeb閲覧履歴や個人情報などが盗み取られる可能性があるという。AVGはアップデートをリリースしたとのこと。この問題についての詳細について本の虫で紹介されているが、Googleは以前より悪意のあるChrome拡張からユーザーを保護するため、Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが(過去記事)、今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると自動的にChromeにインストールされるという。
問題となった脆弱性は、この拡張が提供するJavaScript APIにあるとのこと。AVG側は問題のあるAPIを第三者が実行できないように修正を行ったとのことだが、この修正内で使われている正規表現が不適切で、「avg.com」という文字列を含むドメイン名を利用することでこの制限を迂回できてしまうという。
2015年には、このようなWebブラウザ関連のセキュリティソフトによる問題として金融機関が利用を推奨するセキュリティソフトでの非互換性問題やノートンのFirefox向けツールバーで互換性問題などが発生していた。
正規表現は適切になったようですが (スコア:1)
脆弱性 (スコア:0)
>Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが、
>今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると
>自動的にChromeにインストールされるという
つまりChromeには「ウェブストア経由でなくても拡張をインストールできてしまう脆弱性」がある、と。
Re:脆弱性 (スコア:1)
Re: (スコア:0)
Win32で動く限り、ウェブストア経由以外での拡張のインストールを完全にできなくすることは不可能なので、脆弱性とは言わないと思う。あえて言うなら「Win32にはストア以外の任意のサイトからダウンロードした任意のプログラムを実行できる脆弱性がある」。実際iOSやAndroidでは脆弱性として扱われるし、WindowsでもWinRTだったら脆弱性だ。
Re: (スコア:0)
ウェブストア経由以外のソフトは有用な拡張でも悪意ある拡張と認定して
アップデート毎にウェブストアにあるかをチェックして、なければ強制アンインストールするぐらいの強硬策取れば
よほど邪悪なソフト以外従うのでは?
Re: (スコア:0)
ストア配布時にデジタル署名するとか方法はいくらでもあると思うけど。
「拡張」を拡張とみなす/受け入れる動作はChromeの固有のものであってWin32がどうこうとか一切関係がない。
Re: (スコア:0)
受け入れる動作なんて、簡単に乗っ取れるわけで。
Re: (スコア:0)
それを脆弱性といわずして何と呼ぶのだ。
Re: (スコア:0)
きじゃくしょう?
Re: (スコア:0)
つまり拡張機能のないEdgeだけが脆弱性のないブラウザなんだよ!
GoogleはWindows版には脆弱性機能である拡張機能を搭載し、Android版には搭載しなかったのは、つまりそういうことなんだよ!
Appleはそれがわかっていたから、脆弱性を防止するためにサードパーティーのウイルス対策ソフトを認めていないのさ。
ってことですよね?
Re: (スコア:0)
エッジは未搭載状態なだけでこれから…
Re: (スコア:0)
NSAの陰謀に違いない
Re: (スコア:0)
それを脆弱性というなら、ChromeじゃなくてWindowsの脆弱性じゃないかな。
動作の乗っ取りに使える他プロセスへのアクセス等ができる仕様のOSなのだから。
まあ、同じ脆弱性はMacにもLinuxにもあるけどね。
Re: (スコア:0)
dockerとかsnappyならそういう問題は解決できます。
Re: (スコア:0)
セキュリティソフトとブラウザを別の環境にインストールすんの?
それってそもそもセキュリティソフト入れる意味あるの?
Re: (スコア:0, 興味深い)
……こんなコメントを見た時、どういう顔をすればいいのかわからないの
Re:脆弱性 (スコア:1)
言いたい事があるならはっきり言えよ。
Re:脆弱性 (スコア:1)
自分以外はみんなバカ
Re:脆弱性 (スコア:1)
そしてバカっていう方がバカである、と
Re: (スコア:0)
まとめると #2943677 はバカではないということか。
Re: (スコア:0)
「…陣営論争の匂いはするけども、自分じゃあ反論の切り口さえ思いつけないの」
Re: (スコア:0)
何が悲しくて、#2943645他の人々は、自分を閉じ込める檻を探しているのだろう?
Re: (スコア:0)
笑えばいいと思うよ
Re: (スコア:0)
Chromeのいう「Chromeウェブストア経由でのみ拡張をインストールできるようにしている」とは、
「かつてはウェブストア以外でも野良拡張をインストールできたが、それができないようになった」ということであって、
もちろん今回のように内部から改ざんを受けた場合にそれを防げるなどとは言っていない。
ウェブストア経由以外に一切の方法がないなどと文字通り解釈して「Chromeの脆弱性」とか言い出すとか、
文章を読むときはちゃんとその背景を理解して空気を読みましょうとしか言いようがない。
「百人乗っても大丈夫!」「体重250キロの相撲取りが100人が上で飛び跳ねたら耐えられないだろ。誇大広告じゃん」
小学生か。普通は言わなくてもわかるが、もちろん標準的な体重の人間での話だ。常識で考えろ。
「ウェブストア以外からはインストール出来ないから安全」「内部から改ざんを受けたらダメだろ。脆弱性じゃん」
小学生か。普通は言わなくてもわかるが、もちろん野良拡張を禁止したという話だ。常識で考えろ。
Re: (スコア:0)
>もちろん野良拡張を禁止したという話だ。
禁止したはずの野良拡張とやらをインストールできる脆弱性が見つかったという話です。
Re: (スコア:0)
これが脆弱性なんだとしたらセキュリティソフトなんて必要ない環境だよ
Re: (スコア:0)
禁止というのは「してはいけない」という意味でしょう?日本語の解釈がおかしいのではないでしょうか
Re: (スコア:0)
空気を読めで物事がすべてすむなら、もっと世の中は平和でいいはずなんだがな。
「そんなことドキュメントに書いてなくても考えれば分かるだろ、空気読め!」とか仕事が楽になりそうだ。
むしろ文字などいらない世界か。より認識し合える人類的な?
それってただの・・・。 (スコア:0)
トロイの木馬じゃないですか。
そもそも (スコア:0)
今時のセキュリティベンダーなんてろくな会社が無い
形骸化して営業で食ってるようなとこばかりで技術者はどこに?
Re: (スコア:0)
今時デスクトップ(笑)
Re: (スコア:0)
ブラウザの拡張機能をインストールできる脆弱性は相当な脅威となる。
そりゃもうあんなことやこんなことがダダ漏れ。
Re: (スコア:0)
悪意のあるソフトウエアをインストーラーを使ってインストールしたのならばわざわざ拡張なんぞ使わなくてもやりたい放題だって事が解らないんだろうか