セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性 14
ストーリー by headless
セキュリティ企業がChromiumをフォークして開発し、自社のセキュリティソフトとともにインストールする「セキュアな」Webブラウザの中には重大なセキュリティー上の欠陥を含むものがあるようだ。GoogleのProject Zeroでは、Comodoの「Chromodo Private Internet Browser」とAvastの「SafeZone」で発見した脆弱性をGoogle Security Researchで公表した。なお、これらの問題についてはComodoとAvastがそれぞれ修正版をリリースしている。
ChromodoはComodo Internet Securityと同時にインストールされ、既定のWebブラウザに設定される。ComodoはChromodoについて、最高レベルのスピードとセキュリティ、プライバシーと説明しているが、ChromodoはWebセキュリティを無視して同一生成元ポリシーを無効化しているのだという。Project ZeroのTavis Ormandy氏は、新しいウインドウで開いた別のWebサイトのCookieを読み取って表示する実証コードを作成している(Google Security Research — Issue 704、 The Registerの記事、 Neowinの記事)。
Comodoは修正版をリリースしたものの、実証コードが動作しなくなるようにしただけで根本的な修正は行われていないという。そのため、Ormandy氏はとりあえず修正済みとして公表し、正しく修正されていない点を新しいバグとして登録したとのことだ。
一方、SafeZoneは「Avastium」とも呼ばれ、Avastの有料版セキュリティ製品で利用できる機能のようだ。SafeZoneの問題は攻撃者がファイルシステム上のすべてのファイルを読み取り可能になる点だ。ファイルリストを取得できるため、パスやファイル名を知っている必要もない。また、認証された任意のHTTPリクエストを送信し、レスポンスを読み取ることが可能だという。これにより、攻撃者は電子メールを読んだり、ネットバンキングを操作したりといったことが可能になるという(Google Security Research — Issue 679、 Avastの更新情報、 The Registerの記事)。
これらの問題があるのはSafeZoneだが、AvastSvc.exeがlocalhostに作成するRPCエンドポイントがWebからアクセス可能となっており、攻撃者は任意のWebブラウザからSafeZoneを起動できる。そのため、ユーザーがSafeZoneを使用している必要はないとのこと。
この件はAvastが修正版をリリースしたため、修正済みの脆弱性として内容が公表された。
ChromodoはComodo Internet Securityと同時にインストールされ、既定のWebブラウザに設定される。ComodoはChromodoについて、最高レベルのスピードとセキュリティ、プライバシーと説明しているが、ChromodoはWebセキュリティを無視して同一生成元ポリシーを無効化しているのだという。Project ZeroのTavis Ormandy氏は、新しいウインドウで開いた別のWebサイトのCookieを読み取って表示する実証コードを作成している(Google Security Research — Issue 704、 The Registerの記事、 Neowinの記事)。
Comodoは修正版をリリースしたものの、実証コードが動作しなくなるようにしただけで根本的な修正は行われていないという。そのため、Ormandy氏はとりあえず修正済みとして公表し、正しく修正されていない点を新しいバグとして登録したとのことだ。
一方、SafeZoneは「Avastium」とも呼ばれ、Avastの有料版セキュリティ製品で利用できる機能のようだ。SafeZoneの問題は攻撃者がファイルシステム上のすべてのファイルを読み取り可能になる点だ。ファイルリストを取得できるため、パスやファイル名を知っている必要もない。また、認証された任意のHTTPリクエストを送信し、レスポンスを読み取ることが可能だという。これにより、攻撃者は電子メールを読んだり、ネットバンキングを操作したりといったことが可能になるという(Google Security Research — Issue 679、 Avastの更新情報、 The Registerの記事)。
これらの問題があるのはSafeZoneだが、AvastSvc.exeがlocalhostに作成するRPCエンドポイントがWebからアクセス可能となっており、攻撃者は任意のWebブラウザからSafeZoneを起動できる。そのため、ユーザーがSafeZoneを使用している必要はないとのこと。
この件はAvastが修正版をリリースしたため、修正済みの脆弱性として内容が公表された。
セキュリティ企業ですら(だからこそ?)この体たらく (スコア:3, 参考になる)
スマホアプリでWebViewがどんだけ適当な使われ方されているのかとか想像しただけで寒気が
Re:セキュリティ企業ですら(だからこそ?)この体たらく (スコア:1)
むしろスマホベンダがどうWebViewをカスタマイズしているかが怖い。でも最近はGoogleがPlayストアでWebViewを直で配信しているからカスタマイズしているところはあまりないかな…?
Re: (スコア:0)
サンムスンとかサムスンとか(User-AgentだけChromeのふるをするという悪質さ)
Re: (スコア:0)
「実務フローの理解や硬いコードを書ける実績信用や新規分野のアイデア」の無いソフトウェア企業が手掛けるのがコンシューマ向けセキュリティだからのう
Chrome互換ブラウザ (スコア:2)
Googleに情報を発信しない軽量でセキュアなブラウザです!
…という売り文句もこういう事で信用無くしてくよね
Re: (スコア:0)
「脆弱性の無いソフトウェアです!」と謳ってたわけでもあるまいし…。
Re: (スコア:0)
デバッグコストを削減するためのうたい文句ですね
え?? (スコア:1)
Privdog [google.co.jp]でやらかしている
Comodo Internet Securityが
最高レベルのセキュリティ、プライバシー???
なかなかのブラックジョークだ
# 実証コードもお手のものだったろうさ
全然オフトピなのですが (スコア:0)
部門名てつけなくてもいいんですね。
つける決まりになってるもんだとばかり。
Re:全然オフトピなのですが (スコア:3, 参考になる)
Re: (スコア:0)
たまに画面の調子が悪くなるとか昔のテレビみたいだな。
Re:全然オフトピなのですが (スコア:1)
つまり叩けば直る!
叩き方にもコツがあるんですよね
Re: (スコア:0)
SIer「ヤナハナシダナー ( ;∀;)
Re:全然オフトピなのですが (スコア:1)
何か特殊な文字列を入れてスラドの脆弱性をついてしまったのかも