Chromium – Page 2 – IoT OT Security News

CISA KEV 警告 22/12/02：Google Chrome の深刻な脆弱性 CVE-2022-4262

CISA orders agencies to patch exploited Google Chrome bug by Dec 26th

2022/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃での悪用が確認されているバグのリストに、新たな脆弱性を追加した。この脆弱性 CVE-2022-4262 は、Google Chrome for Windows／Mac／Linux に存在するものであり、12月2日にゼロデイバグとしてパッチが適用されたものだ。そのセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を確認している」と述べている。

Chrome の悪意のエクステンション VenomSoftX：Google Sheets を装い暗号通貨を窃取

Google Chrome extension used to steal cryptocurrency, passwords

2022/11/21 BleepingComputer — VenomSoftX という情報窃取型の Google Chrome エクステンションが、Windows マルウェアにより展開され、ユーザーの暗号通貨やクリップボードの内容を窃取している。この Chrome エクステンションは、Windows マルウェア ViperSoftX によりインストールされ、JavaScript ベースの RAT (Remote Access Trojan) として、また、暗号通貨ハイジャッカーとして機能する。 ViperSoftX は 2020年から存在しており、Cerberus と Colin Cowie のセキュリティ研究者により、また、Fortinet のレポートにより、以前から公表されている。

Cloud9 は Chrome ボットネット：リモート操作＋多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗／キーストロークの記録／広告や悪意の JS コードの注入／被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome／Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT：Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。

Chrome 106 の深刻な脆弱性６件が FIX：なかなか止まらない use-after-free 欠陥

Chrome 106 Update Patches Several High-Severity Vulnerabilities

2022/10/12 SecurityWeek — 火曜日に Google は、Chrome の最新アップデートを提供し、４つの use-after-free のバグを含む、６つの深刻度の高い脆弱性にパッチを適用したと発表した。新たに解決された脆弱性は、すべて外部の研究者により発見されたものであり、Google は報告者たちに $38,000 のバグバウンティ報奨金を手渡した。

Chromium アプリ・モードの危険性：Chrome／Edge／Brave ユーザーの盲点を突く攻撃手法

Web browser app mode can be abused to make desktop phishing pages

2022/10/03 BleepingComputer — Chrome のアプリケーション・モード機能を利用した、デスクトップ・アプリとして表示されるローカル・ログイン・フォームから、新たなフィッシング手法を実施する脅威アクターが、認証情報を容易に盗み出しているという。このアプリ・モード機能は、Google Chrome／Microsoft Edge／Brave Browser などを含む、すべての Chromium ベースのブラウザで利用できる。この機能により、正規のログイン画面と見分けがつかない、リアルなログイン画面を生成することが可能となる。

Microsoft 警告：Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃を検知

Microsoft Raises Alert for Under-Attack Windows Flaw

2022/09/13 SecurityWeek — Microsoft のセキュリティ・チームが、主要 Windows プラットフォームの深刻な脆弱性を悪用するゼロデイ攻撃を検出したことを明らかにした。同社は、9月の Patch Tuesday において、最新のゼロデイ脆弱性に対する修正を提供しているが、すでに、この脆弱性を悪用する攻撃者たちが、パッチが適用された Windows マシンでも SYSTEM 権限を獲得しているケースがあると警告している。

Chrome の深刻なバク：悪意の Web サイトによるクリップボード上書きが証明された

Google Chrome bug lets sites write to clipboard without asking

2022/08/31 BleepingComputer — Chrome Version 104 で、事故とも言えるバグの混入が発生した。それは、訪問した Web サイトから、クリップボードへの書き込みイベントを承認するための、ユーザー要件が削除されるというものだ。この機能は、Google Chromeに限ったものではない。Safari と Firefox も、Web ページからシステムのクリップボードへの書き込みを許可しているが、ジェスチャーによる保護が施されている。

ChromeOS の脆弱性 CVE-2022-2587 が FIX：Chromium の問題を Microsoft が発見

Microsoft publicly discloses details on critical ChromeOS flaw

2022/08/23 SecurityAffairs — Microsoft は、ChromeOS における深刻な脆弱性 CVE-2022-2587 (CVSS：9.8) について、詳細な情報を共有した。この脆弱性は、OS Audio Serverにおける境界外書き込みの問題であり、DoS 状態を引き起こすこともあれば、特定の状況下ではリモートコード実行のために悪用される可能性があるとのことだ。

Google Chrome ゼロデイ脆弱性 CVE-2022-2856 が FIX：野放し状態での悪用を確認

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

2022/08/17 TheHackerNews — 8月10日に Google は、デスクトップ用 Chrome ブラウザに存在する、深刻なゼロデイ脆弱性を修正するパッチを配布した。この脆弱性 CVE-2022-2856 は、Intents における信頼されていない入力に対する検証が、不十分なケースだと説明されている。Google Threat Analysis Group のセキュリティ研究者である Ashley Shen と Christian Resell は、2022年7月19日に、この不具合を報告したとされている。

PyPI に悪意のパッケージ：Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

Chrome／Chromium のブックマーク同期：データ流出の新たな経路になる可能性とは？

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、１つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。

Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX：野放し状態の攻撃を確認

Google patches new Chrome zero-day flaw exploited in attacks

2022/07/04 BleepingComputer — Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処した。それは、2022年にパッチが適用された、４番目の Chrome ゼロデイとなる。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べている。

Microsoft WebView2 の悪用：MFA をバイパスする狡猾なフィッシング手法が証明された

Clever phishing method bypasses MFA using Microsoft WebView2 apps

2022/06/26 BleepingComputer — Microsoft Edge WebView2 アプリケーションを悪用する、巧妙で新たなフィッシング手法により、被害者の認証クッキーが盗み出され、攻撃者によるアカウントへのログイン時に、多要素認証がバイパスされることが可能になるという。数多くのデータ漏洩や、リモートアクセス型トロイの木馬 (RAT)、フィッシング・キャンペーンなどにより、盗み出されたログイン認証情報は膨大な量になっている。その一方で、多要素認証 (MFA) の採用が進んでいるため、標的の MFA ワンタイム・パスコードやセキュリティ・キーに対しても、攻撃者がアクセスできない限り、これらの盗み出した認証情報の悪用は難しくなっている。

Adobe Acrobat の問題：アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック？

Adobe Acrobat may block antivirus tools from monitoring PDF files

2022/06/21 BleepingComputer — セキュリティ研究者たちは、Adobe Acrobat がアンチウィルス・ソフトウェアをブロックし、PDF ファイルをオープンする際の、セキュリティ的な可視化を拒否していることを発見し、ユーザーにリスクを生じさせることを明らかにした。Adobe の製品は、30 種類のセキュリティ製品のコンポーネントの、プロセスへのロードの有無をチェックしており、また、それらをブロックすることで、悪意のアクティビティ監視を本質的に拒否している。

Google Chrome に緊急パッチ：野放しで悪用されているゼロデイ脆弱性に対応

Google Releases Urgent Chrome Update to Patch Actively Exploited Zero-Day Flaw

2022/04/14 The Hacker News — 4月11日に Google は、同社の Web ブラウザ Chrome に存在する、２つのセキュリティ問題に対処するための緊急パッチを配布した。この深刻な脆弱性 CVE-2022-1364 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因すると説明されている。Google Threat Analysis Group の Clément Lecigne が、この欠陥を 2022年4月13日に報告したとされている。

Google Chrome のゼロデイ脆弱性が FIX：緊急アップデートが配布されている

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

2022/03/25 TheHackerNews — 金曜日に Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布した。このゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因する。なお、このバグを 2022年3月23日に報告したのは、匿名の研究者だとされている。

Jupyter マルウェアの最新版：MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

Microsoft Azure の OMIGOD 脆弱性はログ収集エージェントが原因？

Critical Flaws Discovered in Azure App That Microsoft Secretly Installed on Linux VMs

2021/09/15 TheHackerNews — Microsoft は、９月の Patch Tuesday アップデートにおいて、Azure クラウド標的にした脆弱化されたシステムのリモート操作や、特権昇格などを引き起こす恐れのある４つのセキュリティ陥に対処した。これらの脆弱性は、Wiz の研究者が OMIGOD と総称しているものであり、多くのAzure サービスに自動的に導入されている Open Management Infrastructure という、あまり知られていないソフトウェア・エージェントに影響を与える。

Google Chrome／Chromium で発見された Spook.js サイドチャネル攻撃とは？

Spook.js – New side-channel attack can bypass Google Chrome’s protections against Spectre-style exploits

2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。

Microsoft Edge Legacy が永遠の眠りに

RIP: Microsoft Edge Legacy nuked by April Windows Updates

2021/04/13 BleepingComputer — Microsoft は 4月13日にリリースされたパッチ・アップデートにより、Edge Legacy が自動的に削除され、新しい Chromium-based Edge に置き換えられることを認めている。Chromium-based Edge は 2020年1月にリリースされ、Microsoft は Windows 10 October 2020 Update 用いて出荷された、すべてのデバイスへのプレインストールを開始している。

Chromium_based ブラウザにリモート・コード実行の脆弱性が

RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers

2021/04/12 TheHackerNews — インドのセキュリティ研究者である Rajvardhan Agarwal が、Google Chrome/Microsoft Edge/Opera/Brave といった Chromium ベース・ブラウザで、新たに発見された脆弱性に対する PoC（proof-of-concept) エクスプロイト・コードを公開した。この PoC エクスプロイトは、それらの Web ブラウザに搭載されている V8 JavaScript レンダリング・エンジンに存在する、リモート・コード実行の脆弱性を利用するものである。