BT

AVGプラグインはChromeのユーザーデータをさらす

| 作者: Jeff Martin フォローする 14 人のフォロワー , 翻訳者 尾崎 義尚 フォローする 0 人のフォロワー 投稿日 2016年1月5日. 推定読書時間: 1 分 |

原文(投稿日: 2015/12/31)へのリンク

アンチウイルスファームのAVGがリリースしたGoogle Chrome向けのプラグインは、意図的にWebブラウザーのセーフガードをオーバーライドし、結果的に悪意のあるWebサイトにユーザーデータを晒すことになった。AVG Web TuneUpという名前のプラグインは、表だっては危険なWebサイトや検索結果に訪問したときにユーザーに警告することを意図している。彼らがAVGプラグインの欠陥をターゲットにした悪意のあるWebサイトに訪問したとき、クロスサイトスクリプティング攻撃によりユーザーの脆弱を放置することになる。

Googleのセキュリティ研究員Tavis Ormandy氏の調査作業によると、AVGプラグインのユーザーは、悪意のあるWebサイトによって彼らの閲覧履歴と個人データが盗まれる脆弱性が見つかったことを明らかにした。Ormandy氏の指摘によると、AVGの拡張は具体的にChromeのレンダリングユーザーのシステム脆弱性マルウェアチェックをバイパスしている。12月21日の彼の元投稿に対するフォローアップにおいてOrmandy氏は、現在提供されている最新バージョンのAVGのWeb TuneUp(4.2.5.169)では、当初の問題は解決されていると述べている。しかしながら、“mysearch.avg.com”と“webtuneup.avg.com”ドメインでだけ使われるようにプラグインを強制することで部分的にはそうである—サイトが危険にさらされている場合、脆弱性はまだ悪用される可能性があるため、リスクは完全に排除されてはいない。

さらにパッチは12月28日にAVGによって提出されたが、Chrome Webストアのプライバシー条項にAVGプラグインが違反していないかどうかを調査するためGoogleによってレビュー中である。最高レベルの安全性を求めているユーザーは、問題が解決するまでブラウザからプラグインを削除する必要がある。AVGの不要な注意ははじめてではなく、以前、PC WorldのJared Newman氏は、プライバシーポリシーの変更は、AVGが個人を特定しないユーザーのデータを販売していることを意味していると指摘した。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT