JavaScript Drive-By Attacks: New Exploits without 0-Day in Google Chrome
2024/11/11 SecurityOnline — Chrome のゼロデイ脆弱性を悪用を必要とせずに、ユーザーを攻撃する新たな手法が、Imperva Threat Research のセキュリティ研究者である Ron Masas により発見された。この手法は、ユーザーが許可した場合に、Web サイトがローカル・ファイルの読み書きを可能にする、File System Access API を悪用するものだ。この API は Windows/macOS のセキュリティ機構をバイパスするため、不正なコード実行の防止において OS の Gatekeeper 機能を用いる macOS ユーザーにとって、深刻な懸念事項となると Ron Masas は指摘している。
この手法に、Masas が注目し始めた理由は、Web ページでの任意のコード実行を可能する、Java アプレットの “drive-by download” 技術が、数年前から使用されていることにあった。
Masas は、「最近になって検知された攻撃では、たった1回の不用意なクリックでシステムが侵害された可能性があり、特に Chrome の File System Access API が関与している場合に、その可能性は高くなる」と述べている。
Chrome において、機密ファイルへのアクセスを制限するブロック・リストに、抜け穴があることを Masas は突き止めた。シンボリック・リンクを悪用する攻撃者は Chrome を騙して、本来は保護されているはずの、ファイルに対する書き込みを可能にする。Google Chrome Helper は、Chrome とインストール済みのプラグイン間の仲介役として機能し、上書きが発生するときにダイレクトなルートを提供するため、攻撃者に対してコード実行の機会を与えると、Masas は指摘している。
Masas は、2つの PoC アプリケーションを開発し、その潜在的な影響を実証している。具体的に言うと、ブラウザ AI ヘルパーと、Evil Code Editor と呼ばれる偽のオンライン IDE を用いるものだ。2つの PoC は、ファイル・アクセス権限を与えるように、ユーザーに仕向ける構成となっており、それにより任意のコマンド実行を可能にする。Masas は、「これらの手順に従うユーザーのマシン上で、攻撃者による任意のコマンド実行が可能になるという、きわめて深刻な脆弱性である」と強調している。
Masas のレポートで推奨されるのは、File System Access API により変更されたファイルの実行権限を、Google が削除することで、これらの攻撃を軽減することである。Google の予定は、そのための制限を Chrome 132 で実装するというものだが、現時点において問題は修正されていない。
Masas のレポートは、「この瞬間においても、誤って数回クリックするだけで、深刻なセキュリティ問題につながる可能性が生じている。ファイルへのアクセスを許可する際には、注意を怠ることなく、よく考えてほしい」と締め括っている。 この注意喚起が浮き彫りにするのは、利便性とセキュリティが常に相反する、現代のWeb 機能におけるリスクである。
こういう記事を訳していると、いたるところに脆弱性ありと感じますが、文中でも指摘されているように、セキュリティよりも利便性が優先されるという状況が、常態化しているとも捉えられます。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.