Google Chrome ‘SymStealer’ Vulnerability Could Affect 2.5 Billion Users
2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。
Masas は、「SymLink は、ショートカット作成/ファイルパス・リダイレクトなどの、柔軟な方法によるファイルの整理に便利なものだ。しかし、適切に扱わなければ、脆弱性を引き起こす可能性もある。我々が Google に開示した脆弱性のケースでは、ファイルやディレクトリを処理する際に、ブラウザが SymLink と相互作用するという問題が発生した」と述べている。
つまり、この欠陥により、ブラウザは、シンボリックリンクがユーザーをアクセスすることを意図していない場所に、SymLink が誘導しているかどうかを、ブラウザが正しくチェックせず、その結果として、機密ファイルの窃取を可能にしていたのだ。
彼は、「この問題は、一般に SymLink フォローとして知られている。たとえば、新しい暗号ウォレット・サービスを提供する偽の Web サイトを作成するために、攻撃者が悪用することも考えられる」と付け加えている。
この脆弱性を発見した後に Imperva は、Chromium のバグ・トラッカーに PoC エクスプロイトを作成し、関連する攻撃が発生し得る状況を紹介した。
Imperva チームは、「Google に対して脆弱性を開示した後の、Chrome 107 で導入された最初の修正では、この問題に完全に対処できていなかった。そのことを Google に通知し、Chrome 108 では完全に解決された。最新の脆弱性からの保護と行い、個人情報や金融情報の安全を確保するには、ソフトウェアを常に最新の状態に保つことが重要となる」と述べている。
この SymStealer は、最近の数ヶ月で発見された、最新の Chrome 脆弱性に過ぎないん。2022年9月に、開発者である Jeff Johnson は、ユーザーの同意を得ずに、また、対話も行いことなく、システムのクリップボードの内容を、Web ページが置き換えるという脆弱性を発見した。
さらに直近の Google は、攻撃者が被害者のマシン上でデータを破損させ、リモートコード実行にいたる可能性のある、ゼロデイ脆弱性 CVE-2022-4135 にパッチを適用している。
調べてみたら、2022年10月28日ころに Chrome 107 へと、そして 12月2日ころに Chrome 108 へと、アップデートされているようです。したがって、12月に入ってからは Chrome をアップデートしていないという方は、この脆弱性 CVE-2022-3656 を引きずっているのかもしれません。2023年1月10日の「Google Chrome 109 がリリース:全体で 17件の脆弱性に対応」にあるように、すでに 109 がリリースされています。お手元の Chrome のバージョンを、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.