ニュース

セキュリティベンダーAVGが公開しているChrome拡張「AVG Web TuneUp」に深刻な脆弱性

12月21日付けでリリースされたv4.2.5.169で修正済みか

「AVG Web TuneUp」v4.2.5.169

 ウイルス対策ソフト「AVG アンチウイルス」などのセキュリティ製品で知られる蘭AVG Technologiesが提供している「Google Chrome」用の拡張機能「AVG Web TuneUp」に深刻な脆弱性があることが明らかになった。

 「AVG Web TuneUp」は危険なWebサイトを回避して、ユーザーが安心してWebを閲覧できるようにする拡張機能。“Chrome ウェブストア”から無償でダウンロードできるほか、「AVG アンチウイルス」をインストールした環境へ自動でセットアップされることがあるという。また、この拡張機能がインストールされると、「Google Chrome」の新規タブページと検索エンジンの設定が“Yahoo! Search”へと書き換えられてしまう。

 「Google Chrome」には、こうした設定のハイジャックを防ぐためにさまざまなチェック機能が設けられている。しかし、「AVG Web TuneUp」はそうしたチェックを回避するために複雑な迂回手段を用いており、その一部に欠陥があったようだ。

 12月15日付けで“Google Security Research”へ投稿された報告によると、この「AVG Web TuneUp」の欠陥を突くことで“avg.com”のCookieを盗むことができるという。また、Webブラウザーの閲覧履歴といった個人情報を露出させることもできるとのこと。報告者は任意のコードが実行されてしまってもおかしくないとして、AVG社を強く非難している。

 なお、この問題は12月21日付けでリリースされたv4.2.5.169で修正されている模様。

ソフトウェア情報

「AVG Web TuneUp」
【著作権者】
AVG Technologies
【対応OS】
(編集部にてWindows 10で動作確認)
【ソフト種別】
フリーソフト
【バージョン】
4.2.5.169(15/12/21)

(樽井 秀人)