トレンドマイクロさん、狸印の Android 向けセキュリティブラウザで一昨年発覚したユーザーをだます脆弱性が直しきれなくてソフトの公開を取りやめるの巻
| セキュリティコンサルタントのDhiraj Mishraがこの脆弱性を発見し、非公開で4月にソフトウェアメーカーに報告しました。 トレンドマイクロは、Androidのセキュリティスイートからこのアプリを引き上げることで対応しました。 このバグは悪意のあるユーザーがプライバシーブラウザーで表示されているページのアドレスバーを変更して悪用される可能性があると言われています。 Mishraは6/11にthe Registerに「同じ起源のポリシーの欠陥は非常に簡単に悪用できるでしょう。1000万人以上がこのアプリケーションをダウンロードしました。」と言いました。 「こうした欠陥をリモートで悪用するために、攻撃者は悪意のあるJavaScriptパケットをホストし、ユーザーがその悪意のあるコードをホストしているページにアクセスすると、偽のURLで新しいウィンドウまたはタブが開かれる可能性がある」と彼は説明した。 「URLが本物かどうかを判断する方法はありません。これが原因で、ユーザー名のパスワードなどの機密情報が取得される可能性があります。さらに、攻撃者はアドレスバーのなりすましに加えて、URLの信頼性であるSSLを偽装して攻撃の特定を困難にする可能性もあります」 脆弱性CVE-2018-18334は、トレンドマイクロによって確認されました。現時点では、バグにパッチを適用するのではなく、ブラウザを完全に無効にすることを推奨しているとのことです。 「重大なセキュリティ問題について責任ある開示のもと報告されたため、無料のAndroidアプリからコンポーネントを削除することを決定しました」とトレンドはEl Regに語った。 「現在ブラウザを後で追加するかどうかを決定する前に、目的の機能を維持しながら問題を適切に軽減できるかどうかを現在評価しています。」 Mishraは、Trendがこのセキュリティ問題に対処したのは今回が初めてではないため、CVE割り当てが2018になってることについて言及しました。セキュリティベンダーは、昨年1月に最初にDr Safetyの脆弱性にパッチを当てようとしましたが、今年Mishraは、修正されていない同じタイプの複数のアドレスバーのなりすましバグを発見しました。これは、バグの修正版を発行するのではなく、安全なブラウザを削除することを選択した理由を説明するのに役立ちます。 単独での大規模なセキュリティ問題やDr Suiteへの壊滅的な打撃ではありませんが、ブラウザはアプリケーションのセキュリティソフトウェアのほんの一部にすぎません–バグとその後のブラウザの削除は、トレンドマイクロにとって必ずしも歓迎すべき事態ではありません。 トレンドマイクロは1か月も前に、別の製品であるWindows用の無料のRootkit Busterツールのダウンロードを取り下げました。トレンドマイクロは、不明なセキュリティ問題のためにツールが削除されたと述べましたが、ソフトウェアのドライバーが、メモリの割り当て方法を不思議な形で変更し、Microsoftの品質認定テストに合格するために、Microsoftの品質認証テストに合格したことが発見されました。 テスト検出コードが存在する理由は説明されていませんが、ドライバーが意図的にMicrosoft認定テストをだまそうとしていることをトレンドは否定しました。 |
そもそも、JavaScriptなどで、アドレスバーが書き換えられるって IE6時代の脆弱性じゃないかと・ω・
| Android 用 Trend Micro Dr. Safety には、情報漏えいに関する脆弱性が存在します。 |
このAndroid 用 Trend Micro 製のセキュリティブラウザ、英語版しか公開していないので、あまりセキュリティホールがあっても話題にならなかったようですが。
Translate
Comments