Impervaによって発見された脆弱性はCVE-2022-3656として特定されており、CVSSv3スコア値は8.8で深刻度は重要(High)に分類されている。今回、Webブラウザのシンボリックリンクを処理する方法に関連する共通の脆弱性を調査した結果、発見された。

シンボリックリンクが適切に処理されない場合に、脆弱性が生じる危険性があるとされている。今回、シンボリックリンクがアクセスを意図していないファイルを指していないかを適切にチェックしていないために、機密ファイルの窃取を許してしまうことがわかった。このような問題は「symbolic link following」と呼ばれている。

さらにこの脆弱性の潜在的な影響力を示すため、ChromeまたはChromiumベースのWebブラウザでCSSを使用してファイル入力要素を操作する概念実証(PoC: Proof of Concept)が実施されている。「SymStealer」と名付けられた概念実証により、実際にユーザーのファイルシステムからファイルを盗み出せることが明らかとなっている。

Impervaはこの脆弱性をGoogleに開示したと報告。Chrome 107で導入された修正では完全に対処されていなかったが、Chrome 108で完全に解決されたと伝えている。ChromeまたはChromiumベースのWebブラウザを利用しているユーザーは最新の脆弱性から自身を保護するため、ソフトウェアを常に最新の状態に保つことが重要とされている。

国内最大級の品揃え【DMMブックス】ロリポップ!

情報元
https://news.mynavi.jp/techplus/article/20230112-2561080/