日曜日, 7月 11, 2010

【zeroday】Google Chromeブラウザのextensionでログイン情報盗まれる問題について


Google Chromeブラウザーで便利な「アド・オン」アプリを入れられます。「extension」といわれます。「extension」の形はjavascript又はHTMLフォーマットですが、DOMの攻撃仕組みを作られます。
Google/Gmail, Facebook, TwitterのSNSシステムを使うためにログイン情報が必要ですが、Google Chromeの「extension」でログイン情報を盗まれます。
上記の問題についての再現仕方をセキュリティ専門方が作りました、再現仕方はjavascriptのコードで現在インターネットで交換されております↓

まさしく試して見たらコードをこのままで使えます。本件セキュリティ問題について現在ゼロデイ/0day状況になります。

credit: Andreas Grech
---
http://0day.jp
セキュリティリサーチチーム
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿