セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性

あるAnonymous Coward 曰く、　セキュリティソフトウェアベンダーAVGが提供するGoogle Chrome向け拡張に脆弱性があったそうだ（CNET Japan）。

　この脆弱性により、ユーザーのWeb閲覧履歴や個人情報などが盗み取られる可能性があるという。AVGはアップデートをリリースしたとのこと。この問題についての詳細について本の虫で紹介されているが、Googleは以前より悪意のあるChrome拡張からユーザーを保護するため、Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが（過去記事）、今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると自動的にChromeにインストールされるという。

　問題となった脆弱性は、この拡張が提供するJavaScript APIにあるとのこと。AVG側は問題のあるAPIを第三者が実行できないように修正を行ったとのことだが、この修正内で使われている正規表現が不適切で、「avg.com」という文字列を含むドメイン名を利用することでこの制限を迂回できてしまうという。

　2015年には、このようなWebブラウザ関連のセキュリティソフトによる問題として金融機関が利用を推奨するセキュリティソフトでの非互換性問題やノートンのFirefox向けツールバーで互換性問題などが発生していた。

　スラドのコメントを読む | セキュリティセクション | Chrome | セキュリティ

　関連ストーリー：
金融機関が利用を推奨するセキュリティソフトでまたもやWebブラウザとの非互換性問題 2015年12月11日
ノートン、ツールバーに互換性がないためFirefox 40へのダウングレードを検討するようアナウンス 2015年10月05日
Google Chrome、広告ブロック拡張機能をバイパス？ 2015年09月09日
Google Chrome、ユーザーをだますような説明で誘導する拡張のインラインインストールを無効化へ 2015年08月11日
Google、Chrome Web Store以外でホストされているChrome拡張のブロックを開始 2014年06月01日