Chromodoに脆弱性 - JVN

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月5日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#93051628 - Comodo Chromodo に同一生成元ポリシーを適用していない問題および旧バージョンの Chromium を使用している問題」において、Chromodoの脆弱性について伝えた。この問題を抜本的に解決する方法は示されておらず注意が必要。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

Chromodo 45.8.12.392およびこれよりも前のバージョン
Chromodo 45.8.12.391およびこれよりも前のバージョン

該当するプロダクトは古いバージョンのChromiumをベースとしているため、既知の脆弱性が残ったままになっている。また、同一生成元ポリシの適用が行われていないため、Webブラウザに表示されているほかのドメインのコンテンツが取得される危険性がある。

本稿執筆時点でこの問題を解決する方法は提示されておらず、一時的に問題を軽減する方法のみが紹介されている。JavaScriptを無効にすることでクロスドメイン攻撃は回避できるようになるが、それでも古いChromiumに存在している脆弱性の影響を防ぐことはできない。JPCERTコーディネーションセンターでは問題が修正されるまでの間、該当するプロダクトの使用停止を検討することも呼びかけている。