innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Microsoft Edgeに潜む危険:無断で拡張機能をインストールする脆弱性が修正される

Microsoft Edgeに潜む危険:無断で拡張機能をインストールする脆弱性が修正される - innovaTopia - (イノベトピア)

Last Updated on 2024-07-04 04:42 by admin

Microsoft Edgeのウェブブラウザにおいて、攻撃者がユーザーの知識なしに任意の拡張機能をインストールし、悪意のある行動を実行できる可能性のあるセキュリティ上の欠陥が発見された。この脆弱性は、マーケティング目的で当初意図されたプライベートAPIを悪用して、広範な権限を持つ追加のブラウザ拡張機能を秘密裏にインストールすることを可能にするものである。この問題はCVE-2024-21388(CVSSスコア:6.5)として追跡され、2024年1月25日にリリースされたEdge安定版121.0.2277.83で修正された。この脆弱性の修正は、2023年11月に責任を持って開示された後に行われた。

Microsoftは、この脆弱性を成功裏に悪用した攻撃者が拡張機能をインストールするために必要な権限を得られると述べ、ブラウザのサンドボックスからの脱出につながる可能性があると警告している。また、攻撃者が標的環境を準備するために追加の行動を取る必要があるとも強調している。Guardioの調査によると、CVE-2024-21388は、悪意のあるアクターがbing[.]comやmicrosoft[.]comのページでJavaScriptを実行する能力を持つ場合、ユーザーの同意や対話なしにEdge Add-onsストアから任意の拡張機能をインストールできるようにする。

この脆弱性は、攻撃者がadd-onsストアに見かけ上無害な拡張機能を公開し、それを使用してbing[.]comなどのAPIにアクセスできるサイトに悪意のあるJavaScriptコードを注入し、APIを使用して拡張機能識別子を呼び出すことで、被害者の許可なく目的の拡張機能を自動的にインストールする、という仮想的な攻撃シナリオを可能にする。Guardioは、このバグが野生で悪用された証拠はないが、ユーザーの便利さとセキュリティのバランスをどのように取るか、およびブラウザのカスタマイズがどのようにしてセキュリティメカニズムを無効にし、新しい攻撃ベクトルを導入する可能性があるかを強調している。

【ニュース解説】

Microsoft Edgeのウェブブラウザにおけるセキュリティ上の欠陥が発見され、修正されました。この脆弱性は、攻撃者がユーザーの知識や同意なしに任意の拡張機能をインストールし、悪意のある行動を実行できる可能性があるというものです。この問題は、CVE-2024-21388として識別され、CVSSスコアは6.5と評価されています。この脆弱性は、特定のプライベートAPIを悪用することで発生し、2024年1月25日にリリースされたEdgeの安定版で修正されました。

このセキュリティ上の欠陥は、攻撃者がMicrosoftが所有する特定のウェブサイト(例えば、bing.comやmicrosoft.com)でJavaScriptを実行する能力を持つ場合に悪用される可能性があります。攻撃者は、Edge Add-onsストアから任意の拡張機能をユーザーの同意や対話なしにインストールできるようにすることができました。これは、ブラウザが特定のプライベートAPIへの特権アクセスを持っており、そのAPIを通じて、ベンダー自身の拡張機能マーケットプレイスからのアドオンをインストールできるためです。

この脆弱性の潜在的な影響は大きく、攻撃者が見かけ上無害な拡張機能をadd-onsストアに公開し、その拡張機能を使用して悪意のあるJavaScriptコードを注入し、目的の拡張機能を被害者の許可なく自動的にインストールすることが可能になります。このような攻撃は、ユーザーが気づかないうちに行われるため、特に危険です。

この問題の修正により、Microsoft Edgeユーザーはより安全にブラウザを使用できるようになりましたが、この事件はウェブブラウザのセキュリティとプライバシーに関する重要な議論を提起します。ユーザーの便利さとセキュリティのバランスをどのように取るか、ブラウザのカスタマイズがセキュリティメカニズムをどのように無効にする可能性があるか、という点です。また、攻撃者がユーザーを騙して悪意のある拡張機能をインストールさせることは比較的容易であり、これが複雑な攻撃の初歩的なステップとなる可能性があることを示しています。

この事件は、ウェブブラウザの開発者だけでなく、ユーザーにとっても、セキュリティ対策の重要性を再認識する機会となります。ユーザーは、使用しているブラウザのセキュリティ更新を常に最新の状態に保ち、不審な拡張機能のインストールを避けることが重要です。また、ブラウザの開発者は、セキュリティとユーザビリティのバランスを取りながら、新たな脆弱性の発見と修正に努める必要があります。

from Microsoft Edge Bug Could Have Allowed Attackers to Silently Install Malicious Extensions.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Microsoft Edgeに潜む危険:無断で拡張機能をインストールする脆弱性が修正される

“Microsoft Edgeに潜む危険:無断で拡張機能をインストールする脆弱性が修正される” への1件のコメント

  1. 小林 さくらのアバター
    小林 さくら

    このニュースを聞いて、本当に怖いと感じました。普段、私たちが何気なく使っているウェブブラウザに、こんなにも深刻なセキュリティの問題が潜んでいるなんて思いもしませんでした。特に、攻撃者がユーザーの知らない間に任意の拡張機能をインストールできるなんて、プライバシーが侵害される可能性が高く、個人情報の流出などの危険もあると思います。

    私はよくオンラインショッピングをしたり、友達との連絡手段としてインターネットを使うので、このようなセキュリティ上の問題は直接自分の生活に影響があります。特に、InstagramやTikTokをよく使う私にとっては、アカウントが乗っ取られたりするのは本当に恐ろしいです。

    この事件から、私たちユーザーもウェブブラウザを使用する際には、セキュリティアップデートを常に最新の状態に保つ、不審な拡張機能はインストールしないなど、自分でできる対策をしっかりと行うべきだと感じました。また、ブラウザの開発者側も、ユーザーが安心して使えるように、セキュリティ対策をさらに強化していく必要があると思います。

    このようなセキュリティの問題は、私たちがインターネットを安全に使うためには避けては通れない問題です。

Latest News