Okta Patches Cross-Site Scripting Flaw (CVE-2024-0981) in Browser Plugin
2024/07/22 SecurityOnline — 先日に Okta が公開したのは、同社のブラウザ・プラグインに存在する、深刻度の高い XSS の脆弱性 CVE-2024-0981 に対するパッチである。この脆弱性は、Chrome/Edge/Firefox/Safari 用の、Okta Browser Plugin バージョン 6.5.0 ~ 6.31.0 に影響を及ぼし、攻撃者に対して機密情報の取得を許す可能性が生じる。
XSS (Cross-Site Scripting) とは、不特定のユーザーが閲覧する Web ページへの、攻撃者による悪意のスクリプト注入を許す、セキュリティ脆弱性の一種である。これらのスクリプトは、そのサイトを訪れた被害者のブラウザ内で実行され、攻撃者による機密情報の搾取/ユーザーなりすまし/アカウント乗っ取りなどにいたる可能性を生じる。
今回の Okta Browser Plugin の脆弱性は、ユーザーが新しい認証情報を入力し、その情報を Okta Personal 内に保存するよう、プラグインが要求した場合に発生する。Okta Personal を Okta Browser Plugin に追加した上に、マルチ・アカウント表示が有効化されている場合において、この脆弱性を悪用する攻撃者は、プラグインのプロンプトに悪意のあるコードを挿入し、それを被害者のブラウザ内で実行する機会を得る。
Chrome/Edge/Firefox/Safari 用の Okta Browser Plugin バージョン 6.5.0~6.31.0 をインストールし、マルチ・アカウント表示を有効化するために Okta Personal を追加した Okta ユーザーは、この脆弱性の影響を受ける可能性を持っている。
すでに Okta は、脆弱性 CVE-2024-0981 に対する修正プログラムを、Chrome/Edge/Safari 向けの Okta Browser Plugin バージョン 6.32.0 としてリリースしている。すべてのユーザーに対して強く推奨されるのは、Okta Browser Plugin の最新バージョンへと、迅速にアップデートすることだ。
Okta Admin ユーザーは、以下のクエリを使用して、古いバージョンのプラグインを使用しているユーザーを検索することも可能である:
debugContext.debugData.oktaUserAgentExtended ne "okta-browser-plugin/6.32.0" and debugContext.debugData.oktaUserAgentExtended co "okta-browser-plugin/"
多くの人々や組織が利用する、Okta Browser Plugin に XSS の脆弱性が発生しました。この記事では、XSS が発生する条件などが明示されているので、この脆弱性を理解するうえでも役に立ちますね。よろしければ、Okta で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.