2012/02/23

CVE-2011-3879: chrome:// URLへのリダイレクト

Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/10/chrome-stable-release.html
[95374] Low CVE-2011-3879: Avoid redirect to chrome scheme URIs. Credit to Masato Kinugawa.

去年の9月に報告し10月に修正された、Google Chromeの(一応)セキュリティバグです。
Google Chromeでは、「chrome:」という独自のスキームでブラウザの設定や履歴の閲覧などができるページが用意されています。通常このスキームにリダイレクトさせたりリンクしたりすることはできません。
ですから例えば、
<script>location.href="chrome://about/"</script>

とかやってもリダイレクトできないし、
<a href="chrome://about/">TEST</a>

とかやっても、クリックでとべないということです。
しかしながら、Location:ヘッダだけはなぜだか違っていました。
Location:chrome://about/

などとヘッダを設定することでリダイレクトさせることができていました。

これにより、chrome:// URL上に表示されるプライベートなコンテンツをフレームに埋め込み、サイトのコンテンツと見せかけたり、chrome:// URL上にXSS脆弱性があった場合に、脆弱な箇所へリダイレクトし、chrome:// URL上の情報を盗まれたりするなどの恐れがありました。(悪用方法として真っ先に思い付いたのがクリックジャッキングで設定の変更をさせることでしたが、ちゃんと制限が施されてあり、設定を変更しようとしても無反応でした。) 現在はリダイレクトできないよう修正されています。
 大した問題じゃないので賞金はもらえませんでしたが、Google Chromeのセキュリティバグを初めて見つけることができ、謝辞にも載せてもらえたので嬉しかったです!
今年はWebアプリケーションの問題よりもブラウザの問題を積極的につついていきたいと思っております。


0 件のコメント:

コメントを投稿