CVE-2024-0333: Chrome Flaw Could Have Let Attackers Sneak in Malicious Extensions
2024/03/28 SecurityOnline — Google Chrome の深刻な脆弱性 CVE-2024-0333 に関する技術的詳細が、この脆弱性の発見者であるセキュリティ研究者 Malcolm Stagg により公開された。この脆弱性を Stagg が発見したのは、Google Chrome における Elevation Service の悪用方法について調査を実施している最中であったという。
脆弱性の原因
この脆弱性 CVE-2024-0333 は、Chrome エクステンションで用いられるフォーマットである、CRX ファイルを処理する方法の特異性に起因すると、Stagg は説明している。攻撃者は CRX ファイルのヘッダーを注意深く操作し、Minizip ライブラリが異なるアーカイブトークンを持つヘッダーを処理する方法を悪用することで、有効な署名を保持した状態で、悪意のエクステンション・データの注入を可能にする。
Malcolm Stagg が発見したのは、このヘッダーに追加のデータを注入し、特に ZIP ファイル・フォーマットの EOCD (End of Central Directory) トークンを活用することで、署名検証プロセスのバイパスが可能になるという事実だ。このプロセスは、Minizip ライブラリの ZIP アーカイブの処理に依存しており、EOCD64 トークンを挿入することで操作される可能性があった。
潜在的な影響
この脆弱性の悪用による、ローカルの権限の昇格は出来なかったが、ゾッとするような攻撃シナリオを Stagg は描いている:
- 企業への侵害:Chrome を使用している企業で、内部エクステンション・アップデート・サーバを使用している場合は、この脆弱性の影響が強くなる。たとえば、カフェなどの共有ネットワークに潜む攻撃者は、内部のアップデート・サーバを模倣し、従業員の Chrome を騙して、改ざんされた悪意のエクステンションをダウンロードさせることが可能だ。それにより、企業ネットワークが広範囲に侵害される危険性が生じる。
Google の迅速な対応
幸いなことに、Stagg の報告を受けた Google は、異例の速さで対応した。同社は 24時間以内に、Chromium のソースコードにパッチを適用した。続いて、その直後に、Chrome のバージョン 120.0.6099.216 で修正を行った。
安全性を保つには
この脆弱性は修正されたが、以下の方法を用いれば、さらに防御を固めることが可能だ:
- パブリックな Wi-Fi に注意する:公共のネットワークを介して、企業システムに接続している Chrome を使用する際は、十分に注意する必要がある。
- 信頼できるエクステンションのみをインストールする:エクステンションをダウンロードする場合は、Chrome ウェブストアの公式サイト、もしくは、信頼できるソースからのみ行うようにする。
- セキュリティ・アップデートを定期的に実施する: オペレーティング・システムと Chrome を含む、全てのアプリケーションを、常に更新する。
この脆弱性の技術的な詳細については、Malcolm Stagg の記事で確認できる。
Chrome に新たな脆弱性が発生し、その技術詳細までが公表されています。ご利用の方は、アップデートを ご確認ください。前回の Chrome 脆弱性に関しては、2024/02/11 の「Chrome のゼロデイ脆弱性 CVE-2022-4262:詳細な情報と PoC エクスプロイトが公開された」という記事があります。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.