Brave Desktop Browser Vulnerability Lets Malicious Sites Appear Trusted
2025/01/27 HackRead — 人気の Brave ブラウザに発見された、深刻なセキュリティ脆弱性を悪用する Web サイトによりユーザーが騙され、信頼できるソースとやり取りしていると信じ込まされている状況が判明した。この脆弱性 CVE-2025-23086 (CWE-60) は、Brave デスクトップ版の 1.70.x 〜 1.73.x に影響を及ぼすものだ。
この問題の原因は、ユーザーの安全性を高めるために設計された機能にある。この機能とは、ファイルのアップロード/ダウンロード中に、オペレーティング・システムのファイル選択ダイアログに、Web サイトのオリジンを表示するものである。その目的は、ファイル転送に関係するサイトの正当性を確認する、視覚的なヒントを提供することにある。ただし、特定のシナリオにおいては、この重要なオリジン情報が正確に推測されず、ユーザー保護に重大な欠陥が生じていた。
このオリジン偽装の攻撃が、正当な Web サイトにおけるオープン・リダイレクトの脆弱性と組み合わされると、きわめて危険な状況が生まれる。オープン・リダイレクトとは、信頼できる Web サイトにアクセスするユーザーが、外部 URL にリダイレクトされる状況を意味する。したがって、Brave の問題とオープン・リダイレクトを組み合わせを悪用する攻撃者は、ファイル選択ダイアログにおいて悪意の Web サイトを信頼できるソースとして表示させ、悪意の Web サイトでユーザーを騙すシナリオを作成できる。
2024年5月に HP が公表したのは、Wolf Security Threat Insights シリーズの調査の結果である。この調査レポートで明らかにされたのは、オープン・リダイレクトの脆弱性や Living-off-the-Land 手法を利用して従来のセキュリティ対策を回避する、キャット・フィッシング戦術を採用するサイバー犯罪者の増加である。
この脆弱性 CVE-2025-23086 の基本スコアは 6.1 であり、重大度は Medium に分類されるが、攻撃ベクターはネットワークであり、攻撃の複雑さとユーザー操作の要件は低い。したがって、この脆弱性により、甚大な被害が生じる可能性がある。マルウェアのダウンロード/機密情報の漏洩に加えて、高度なフィッシング攻撃にいたる可能性もある。つまり、ブラウザーが維持すべき、ユーザーの信頼とセキュリティの基本原則が毀損している。
ユーザーにとって必要なことは、Brave デスクトップ・バージョン 1.74.48 以降へと更新し、脆弱性 CVE-2025-23086 の影響を軽減することだ。さらに、オープン・リダイレクトの痕跡をチェックし、ファイルのダウンロード元を確認し、疑わしいプロンプトを認識するようにしてほしい。
それに加えて、セキュリティ・ツールやブラウザ・エクステンションなどを用いて、オープン・リダイレクトやフィッシングの手口から保護することも重要だ。また、定期的な更新とユーザーの意識向上により、悪用のリスクを大幅に減らすことが可能だ。その一方で、サイトの管理者もプラットフォームを確認し、オープン・リダイレクトの脆弱性を修正する必要がある。
セキュリティには定評のあるはずの Brave に、ちょっと信じられない脆弱性が発生しました。すでにアップデートが提供されていますので、ご利用のユーザーさんは、お急ぎください。よろしければ、Brave で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.