セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性

セキュリティ企業がChromiumをフォークして開発し、自社のセキュリティソフトとともにインストールする「セキュアな」Webブラウザの中には重大なセキュリティー上の欠陥を含むものがあるようだ。GoogleのProject Zeroでは、Comodoの「Chromodo Private Internet Browser」とAvastの「SafeZone」で発見した脆弱性をGoogle Security Researchで公表した。なお、これらの問題についてはComodoとAvastがそれぞれ修正版をリリースしている。

ChromodoはComodo Internet Securityと同時にインストールされ、既定のWebブラウザに設定される。ComodoはChromodoについて、最高レベルのスピードとセキュリティ、プライバシーと説明しているが、ChromodoはWebセキュリティを無視して同一生成元ポリシーを無効化しているのだという。Project ZeroのTavis Ormandy氏は、新しいウインドウで開いた別のWebサイトのCookieを読み取って表示する実証コードを作成している(Google Security Research — Issue 704、The Registerの記事、Neowinの記事)。

Comodoは修正版をリリースしたものの、実証コードが動作しなくなるようにしただけで根本的な修正は行われていないという。そのため、Ormandy氏はとりあえず修正済みとして公表し、正しく修正されていない点を新しいバグとして登録したとのことだ。

一方、SafeZoneは「Avastium」とも呼ばれ、Avastの有料版セキュリティ製品で利用できる機能のようだ。SafeZoneの問題は攻撃者がファイルシステム上のすべてのファイルを読み取り可能になる点だ。ファイルリストを取得できるため、パスやファイル名を知っている必要もない。また、認証された任意のHTTPリクエストを送信し、レスポンスを読み取ることが可能だという。これにより、攻撃者は電子メールを読んだり、ネットバンキングを操作したりといったことが可能になるという(Google Security Research — Issue 679、Avastの更新情報、The Registerの記事)。

これらの問題があるのはSafeZoneだが、AvastSvc.exeがlocalhostに作成するRPCエンドポイントがWebからアクセス可能となっており、攻撃者は任意のWebブラウザからSafeZoneを起動できる。そのため、ユーザーがSafeZoneを使用している必要はないとのこと。

この件はAvastが修正版をリリースしたため、修正済みの脆弱性として内容が公表された。　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
カスペルスキーのセキュリティソフトを導入するとWeb閲覧中勝手にカスペルスキーと通信するJSコードが実行される 2016年02月03日
Trend Microのパスワード管理ソフトにリモートから任意コード実行可能な脆弱性 2016年01月14日
セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 2016年01月03日
金融機関が利用を推奨するセキュリティソフトでまたもやWebブラウザとの非互換性問題 2015年12月11日
Mobile Pwn2Own: Android版Chromeでリモートから任意のアプリをインストール可能な脆弱性 2015年11月15日
知らないうちにGoogle Chromeと入れ替わるという偽ブラウザが確認される 2015年10月21日
Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新) 2015年09月06日
Norton Antivirus、Microsoft Edgeを使わないようユーザーに促す 2015年07月27日
Google、OS Xの未解決の脆弱性を公開 2015年01月27日
GoogleのリサーチャーがWindows 8.1の未修正の脆弱性を公開 2015年01月04日
今月修正されたWindowsなどの脆弱性の半分以上はGoogleが発見 2013年02月20日