Microsoft Edgeのウェブブラウザにおいて、攻撃者がユーザーの知識なしに任意の拡張機能をインストールし、悪意のある行動を実行できる可能性のあるセキュリティ上の欠陥が発見された。この脆弱性は、マーケティング目的で当初意図されたプライベートAPIを悪用して、広範な権限を持つ追加のブラウザ拡張機能を秘密裏にインストールすることを可能にするものである。この問題はCVE-2024-21388(CVSSスコア:6.5)として追跡され、2024年1月25日にリリースされたEdge安定版121.0.2277.83で修正された。この脆弱性の修正は、2023年11月に責任を持って開示された後に行われた。
Microsoftは、この脆弱性を成功裏に悪用した攻撃者が拡張機能をインストールするために必要な権限を得られると述べ、ブラウザのサンドボックスからの脱出につながる可能性があると警告している。また、攻撃者が標的環境を準備するために追加の行動を取る必要があるとも強調している。Guardioの調査によると、CVE-2024-21388は、悪意のあるアクターがbing[.]comやmicrosoft[.]comのページでJavaScriptを実行する能力を持つ場合、ユーザーの同意や対話なしにEdge Add-onsストアから任意の拡張機能をインストールできるようにする。
この脆弱性は、攻撃者がadd-onsストアに見かけ上無害な拡張機能を公開し、それを使用してbing[.]comなどのAPIにアクセスできるサイトに悪意のあるJavaScriptコードを注入し、APIを使用して拡張機能識別子を呼び出すことで、被害者の許可なく目的の拡張機能を自動的にインストールする、という仮想的な攻撃シナリオを可能にする。Guardioは、このバグが野生で悪用された証拠はないが、ユーザーの便利さとセキュリティのバランスをどのように取るか、およびブラウザのカスタマイズがどのようにしてセキュリティメカニズムを無効にし、新しい攻撃ベクトルを導入する可能性があるかを強調している。
【ニュース解説】
Microsoft Edgeのウェブブラウザにおけるセキュリティ上の欠陥が発見され、修正されました。この脆弱性は、攻撃者がユーザーの知識や同意なしに任意の拡張機能をインストールし、悪意のある行動を実行できる可能性があるというものです。この問題は、CVE-2024-21388として識別され、CVSSスコアは6.5と評価されています。この脆弱性は、特定のプライベートAPIを悪用することで発生し、2024年1月25日にリリースされたEdgeの安定版で修正されました。
このセキュリティ上の欠陥は、攻撃者がMicrosoftが所有する特定のウェブサイト(例えば、bing.comやmicrosoft.com)でJavaScriptを実行する能力を持つ場合に悪用される可能性があります。攻撃者は、Edge Add-onsストアから任意の拡張機能をユーザーの同意や対話なしにインストールできるようにすることができました。これは、ブラウザが特定のプライベートAPIへの特権アクセスを持っており、そのAPIを通じて、ベンダー自身の拡張機能マーケットプレイスからのアドオンをインストールできるためです。
この脆弱性の潜在的な影響は大きく、攻撃者が見かけ上無害な拡張機能をadd-onsストアに公開し、その拡張機能を使用して悪意のあるJavaScriptコードを注入し、目的の拡張機能を被害者の許可なく自動的にインストールすることが可能になります。このような攻撃は、ユーザーが気づかないうちに行われるため、特に危険です。
この問題の修正により、Microsoft Edgeユーザーはより安全にブラウザを使用できるようになりましたが、この事件はウェブブラウザのセキュリティとプライバシーに関する重要な議論を提起します。ユーザーの便利さとセキュリティのバランスをどのように取るか、ブラウザのカスタマイズがセキュリティメカニズムをどのように無効にする可能性があるか、という点です。また、攻撃者がユーザーを騙して悪意のある拡張機能をインストールさせることは比較的容易であり、これが複雑な攻撃の初歩的なステップとなる可能性があることを示しています。
この事件は、ウェブブラウザの開発者だけでなく、ユーザーにとっても、セキュリティ対策の重要性を再認識する機会となります。ユーザーは、使用しているブラウザのセキュリティ更新を常に最新の状態に保ち、不審な拡張機能のインストールを避けることが重要です。また、ブラウザの開発者は、セキュリティとユーザビリティのバランスを取りながら、新たな脆弱性の発見と修正に努める必要があります。
from Microsoft Edge Bug Could Have Allowed Attackers to Silently Install Malicious Extensions.
