パスワードを忘れた? アカウント作成

13489587 story
ニュース

パスワード管理ツールを開発するKeeper Security、脆弱性を伝える記事を掲載したメディアを提訴 7

ストーリー by hylom
えー 部門より
あるAnonymous Coward曰く、

Windows 10に同梱されるようになったパスワード管理ツール「Keeper」に深刻な脆弱性が存在することが発覚した(窓の杜)。これに対しKeeperを開発するKeeper Security社は修正を行うとともにこの問題で影響を受けたという顧客からの報告はないと報告している。さらにこれを伝えたArsTechnicaや記事の執筆者を名誉棄損で訴えるとしているという(ZDNetSlashdot)。

問題の脆弱性はWebブラウザ向け拡張機能に存在するもので、外部からコンテンツやスクリプトをあたかも信頼できるもののように挿入できるというもの。この問題は以前にも指摘されており修正されていたが、再び同じ問題が発生するようになっていたという。報告を受けてKeeper Securityは問題を修正したとのこと(Issueへのコメント)。

この問題はArsTechnicaが「For 8 days Windows bundled a password manager with a critical plugin flaw」という記事で報道したが、これに対しKeeper Security側は「16か月もの間不具合が放置されていたかのような印象を与える間違ったものだ」として訴えたそうだ。

13470116 story
Chrome

Windows版Chrome、サードパーティソフトウェアによるコードインジェクションをブロックへ 25

ストーリー by headless
計画 部門より
Windows版のGoogle Chromeでサードパーティソフトウェアによるコードインジェクションをブロックする計画が発表された(Chromium Blogの記事VentureBeatの記事9to5Googleの記事The Registerの記事)。

Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張Native Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。

変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。

なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64Beta ChannelはChrome 63なので、もう少し先の話のようだ。
13453236 story
Chrome

Google Chrome、ユーザーの望まないWebページリダイレクトを来年からブロックする計画 49

ストーリー by headless
計画 部門より
Googleは8日、ユーザーから多くの不満が寄せられている3種類のWebページリダイレクトについて、来年からGoogle Chromeでブロック開始する計画を明らかにした(Chromium Blogの記事VentureBeatの記事The Vergeの記事Neowinの記事)。

来年1月23日リリース予定のChrome 64では、Webページに埋め込まれたサードパーティーのコンテンツによるリダイレクトをブロックするようになる。iframeからのリダイレクトはユーザーの操作によるものでない限りブロックされ、通知バーにその旨が表示されるとのこと。

ポップアップブロック機能を迂回する「逆ポップアップ」とも呼ばれる動作もユーザーの不満が多く聞かれるリダイレクトの一つだという。これはリンクをクリックした際にリンク先ページを新しいタブで開き、元のタブでユーザーが望まないコンテンツへのリダイレクトを行うというものだ。3月6日にリリース予定のChrome 65では元のタブのリダイレクトがブロックされるようになり、iframeからのリダイレクトブロックと同様に通知される。

また、1月初めにはユーザーをだまして望まないポップアップウィンドウや新しいタブを開くといった不正行為に対し、Google Safe Browsingと同様の仕組みによるブロッキングも開始するという。対象には再生ボタンやその他のWebページコントロールを装ってクリックさせたり、全面に透明レイヤーを配してすべてのクリックを乗っ取ったりする手法が含まれる。この変更にサイト所有者が備えられるよう、Google Web Toolsに不正行為リポート(Googleアカウントへのログインが必要)を表示する機能も追加されている。報告された不正行為を修正せずに30日以上経過すると、ブロック対象になるとのことだ。
13436400 story
Chromium

Microsoft、Google Chromeのパッチ提供方針を批判 32

ストーリー by headless
更新 部門より
Microsoftが9月に発見したGoogle Chromeの脆弱性を例に、Googleのパッチ提供方針を批判している(Windows Security blogの記事The Vergeの記事Neowinの記事The Registerの記事)。

CVE-2017-5121はChromeのV8 JavaScriptエンジンで境界外メモリーアクセスが可能になるというもの。MicrosoftはGoogleのProject Zeroチームがよく使用するFuzzingという手法で脆弱性を検出し、リモートからのコード実行が可能になることも確認したとのこと。

GoogleはMicrosoftから9月14日に脆弱性の通知を受け、9月21日に安定版をリリースしたChrome 61.0.3163.100で修正している。ただし、この脆弱性に関するバグトラッカーは一般公開されていないが、修正がGitHubでコミットされたのは9月18日。Microsoftはコードの修正部分は修正版の一般提供後に公開すべきだと主張する。

本件ではバグの修正内容から直接脆弱性を知ることはできなず、修正版が一般提供開始されるまでの期間も短い。しかしMicrosoftによれば、Chromeでは修正がコミットされてから1か月近くたって修正版の一般提供が開始されたものもあるという。

MicrosoftではMicrosoft EdgeのJavaScriptエンジン「Chakra」のコア部分を「ChakraCore」としてオープンソース化しているが、修正版の提供を開始するまではリポジトリの更新を行わないとのことだ。
13411822 story
インターネット

Chrome 63以降ではFTPでのアクセスに対し警告が表示されるようになる 23

ストーリー by hylom
FTPでのファイル配布はオワコン? 部門より
あるAnonymous Coward 曰く、

GoogleはHTTPページに続いて、FTP経由のリソースでも「Not secure(保護されていません)」と表示する計画だと発表した。「Google Chrome 63」以降で実施されるという(Googleの「Security-dev」グループSlashdot)。

FTP URLはセキュリティ上の問題が多いこと、先月のFTP URL利用者は0.0026%と少ないことなどが理由であるという。開発者らは、FTPでのダウンロードURL(特に実行ファイル)提供をHTTPSへ移行することを推奨するとしている。

13393550 story
Chrome

Webサイトのサウンドをデフォルトでミュート可能にする設定、Chrome Canaryでテスト中 8

ストーリー by hylom
ついでに動画再生もデフォルトでオフにしたい 部門より
headless曰く、

Google ChromeにWebサイトのサウンドをデフォルトでミュート可能にするオプションの追加をChromeチームが検討しているそうだ。Chrome Canaryに実装されており、テストする方法をGoogleのFrançois Beaufort氏が解説している(François Beaufort氏のGoogle+投稿Chromium Gerrit — 580112Android PoliceThe Verge)。

オプションは「コンテンツの設定」に追加される「Sound」で、設定画面の「詳細設定→コンテンツの設定」またはOmnibox(アドレス/検索ボックス)左端のサイト情報をクリックすると表示されるドロップダウンメニューからアクセスできる。これにより、すべてのWebサイトでサウンドをミュートすることや、Webサイトを指定してミュートすることが可能だ。また、「chrome://flags」で「Tab audio muting UI control」が有効に設定されていれば、タブに表示されるスピーカーアイコンからWebサイトのミュートを一時的に解除することもできるようだ。

なお、オプションはデフォルトで無効になっており、有効にするには「--enable-features=SoundContentSetting」コマンドラインスイッチを付けてChrome Canaryを起動する必要がある。

13366867 story
Chrome

Google Chrome 60ではSSL証明書の確認が容易に 13

ストーリー by hylom
仕様変更 部門より
headless曰く、

先日安定版の提供が始まったGoogle Chrome 60では、アドレスバーからSSL証明書を確認できるようになっている(9to5GoogleThe Next Web)。

Chromeではもともとアドレスバーから証明書を確認できていたが、Chrome 48ベータでは「Security」タブがデベロッパーツールに追加され、ここに証明書確認機能が移動していた。Chrome 60ではデベロッパーツールに加え、アドレスバー左端で通信の保護状態をクリックすると表示されるメニューから証明書を確認することも可能だ。

ただし、この機能はデフォルトで無効になっており、「chrome://flags」(chrome://flags/#show-cert-link)を開いて「Show certificate link」を有効にする必要がある。この機能を有効にするとメニューに証明書のリンクが追加され、リンクをクリックすれば証明書のプロパティ画面が表示される。

13297559 story
バグ

Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 15

ストーリー by hylom
色々な修正 部門より
headless曰く、

先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ(Issue 1260Softpedia)。

Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。

このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。

この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258CVE-2017-8540)、Issue 1259(タレこみ時点では未公開)Issue 1261CVE-2017-8535853685378538)なども修正されている。

13279463 story
マイクロソフト

Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 37

ストーリー by headless
迅速 部門より
GoogleのProject ZeroがWindowsのマルウェア対策エンジンに「最悪の」脆弱性を発見したのだが、Microsoftが2日ほどで修正を完了し、アップデートを配信した(マイクロソフトセキュリティアドバイザリ 4022344Project Zero — Issue 1252)。

マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。

発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはLocalSystemのセキュリティコンテキストで実行されるため、システムを乗っ取ることもできる。

攻撃者は細工したファイルをユーザーに開かせる必要はない、。マルウェア対策エンジンはローカルのファイルシステムへのアクセスを監視し、スキャンを実行するため、たとえば電子メールに添付して送信し、ターゲットの電子メールクライアントに添付ファイルをダウンロードさせれば攻撃が成立するという。

これについてProject ZeroのTavis Ormandy氏は6日、最悪のリモートコード実行を発見したとツイートしていたが、通知を受けたMicrosoftが修正を完了し、セキュリティアドバイザリを公開したことで、Project Zeroも詳細を公表した。なお、脆弱性はマルウェア対策エンジンのバージョン1.1.13704.0以降で修正されている。
13269510 story
暗号

Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 27

ストーリー by hylom
譲歩となるか 部門より
headless 曰く、

Symantecおよびパートナーの登録局(RA)が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している(Symantec Official BlogRegister)。

この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。

これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80%以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。

対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。

13250865 story
インターネット

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 28

ストーリー by hylom
よく思いつくなあ 部門より
headless 曰く、

形の似た文字をドメイン名に使い、フィッシングサイトなどを正規サイトに偽装する「IDNホモグラフ攻撃」は以前から知られており、Webブラウザー側での対策も行われているが、Google ChromeとMozilla Firefoxの対策を迂回する方法が発見されたそうだ(Xudong Zheng氏のブログWordfenceのブログRegisterNeowin)。

ASCII外の文字を含む国際化ドメイン名はPunycodeという方式でASCIIに変換して表現される。このようなドメイン名はPunycodeに変換されたことを示すため「xn--」が先頭に付加されるが、ChromeやFirefoxのアドレスバーやリンクのツールチップでは元の文字に逆変換して表示される。

ChromeFirefoxではホモグラフ攻撃対策の一環として、ドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycodeのまま表示する。しかし、文字種を混在させなければ逆変換表示になることを利用し、キリル文字だけで偽ドメイン名を作れば対策の迂回が可能だ。

キリル文字にはラテン文字と似た字形の文字が多く、フォントによっては全く同じ字形で表示されることもある。PoCとして、Xudong Zheng氏は「https://apple.com/」に見えるドメイン https://www.xn--80ak6aa92e.com/ (https://аррӏе.com/)、Wordfenceは「https://epic.com/」に見えるドメイン https://www.xn--e1awd7f.com/ (https://www.еріс.com/)を公開している。

なお、Internet ExplorerやMicrosoft EdgeではPunycode表記のまま表示される。Safariも同様のようだ。また、Firefoxでは「about:config」で「network.IDN_show_punycode」の値をtrueに変更すれば逆変換を無効にしてPunycode表示に固定することも可能だ。Chromeにはオプションが存在しないが、Chrome 58で対策が行われているとのことだ。

13210088 story
Android

Google、Chrome OSでAndroid Studioをサポートする計画 24

ストーリー by hylom
今後Chrome-OSでしか開発できなくなる可能性は 部門より
headless 曰く、

GoogleがChrome OSで公式Android統合開発環境「Android Studio」をサポートする計画を進めているようだ(PhoronixChromium Code Review — 459057)。

この計画は25日、Chromium Code Reviewへの投稿で明らかになった。Android StudioのサポートはXWaylandを使用して提供されるようだ。Chrome OSでAndroid Studioが利用できるようになれば、他のOS環境では実行不可能なAndroidアプリのネイティブテストが実現できる可能性もある。Phoronixの記事では、5月のGoogle I/Oで情報が出てくる可能性もあると述べている。

13207280 story
Chrome

Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 68

ストーリー by headless
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿The Registerの記事Softpediaの記事Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
13206385 story
Chrome

Google Chromeで複数のタブをまとめて閉じる機能、使ってる? 81

ストーリー by headless
複数のタブが選択できるのは知らなかった 部門より
Google Chromeのタブを右クリックすると表示されるコンテキストメニューから「他のタブをすべて閉じる」「右側のタブを閉じる」の削除が検討されているそうだ(Issue 515930Softpediaの記事Ghacksの記事Redditの記事)。

タブのコンテキストメニューからあまり使われていないメニュー項目を削除することは数年前から議論されており、昨年9月には「他のタブをすべて閉じる」「右側のタブを閉じる」に加え、「すべてのタブをブックマークに追加」を削除する方向でまとまりかけていた。しかし、最近になってGhacksやRedditで取り上げられたことから、再び議論が活発化したようだ。

使用率でみると「すべてのタブをブックマークに追加」が0.64%と圧倒的に少ない。次に少ないのは「タブのミュートを解除」(1.41%)だが、これは「タブをミュート」(5.38%)とセットなので除外されている。「他のタブをすべて閉じる」(2.20%)は3番目に少ないが、「右側のタブを閉じる」(6.06%)は「タブをミュート」よりも多い。

ただし、「右側のタブを閉じる」は右から左に書くRTL言語モードでは「左側のタブを閉じる」にしなければ混乱を招くという問題(Issue 558207)があり、修正に手間をかけるよりも削除すべきだという話になっている。また、複数のタブをCTRL+クリックやSHIFT+クリックで選択してからCTRL+Wで閉じればいいので、コンテキストメニューに残す必要はないとの意見も出ている。

同様のコンテキストメニュー項目はMozilla FirefoxやMicrosoft Edgeにも用意されているが、スラドの皆さんは使用しているだろうか。
13196763 story
インターネット

Chromiumが「アニメーションPNG(APNG)」の表示をサポート 28

ストーリー by hylom
どれくらいで普及するだろうか 部門より

Google Chromeのオープンソース版であり、Google ChromeのベースにもなっているWebブラウザ「Chromium」が、アニメーションに対応した画像フォーマット「APNG」(Animated Portable Network Graphics)の表示に対応した(PC WatchGIGAZINE)。

すでにFirefoxやSafariなど一部のWebブラウザはAPNGに対応しているが、Chrome/Chromiumは未対応だった。WebブラウザがAPNGに対応しているかどうかテストページで確認できる。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...