Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4攻撃」

Googleのブラウザ「Chrome」に実装された「Cookie」の保護機能を回避する攻撃手法が明らかとなった。「Chromium」の派生ブラウザも影響を受ける可能性がある。

「Chrome」では、Windowsにおいてインフォスティーラーなどから「Cookie」を保護する「Application-Bound(App-Bound)」機能を2024年7月に実装したが、同機能を回避し、低い権限を持つユーザーによって暗号化された「Cookie」を復号、取得する攻撃手法が報告された。

「AppBound」では、Windows標準のデータ保護機能の「DPAPI」により、従来同様「Cookie」に対してユーザー単位の暗号化を行うことにくわえ、SYSTEMアカウントによるDPAPI暗号化を行うことで保護を強化している。

これに対し、CyberArkの研究者が現地時間2025年6月30日に複数の脆弱性によりこれらを回避する攻撃手法を発表した。今回判明した攻撃手法は、プラスチック爆薬の「C4」をなぞり、「C4(Chrome Cookie Cipher Cracker)攻撃」と命名されている。

具体的には、「Chrome」を不正なプログラムに誘導できる脆弱性や、偽装したバイナリにデータをわたすことで暗号化を回避する脆弱性が判明。さらに「Windows」のイベントログに対する「パディングオラクル攻撃」で「SYSTEM」レベルによる暗号を解読することが可能としている。

(Security NEXT - 2025/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
「MS Edge 141」がリリース - 12件の脆弱性を解消
「Termix」のDockerイメージにSSH認証情報が流出するおそれ
米当局、脆弱性5件の悪用に注意喚起 -10年以上前の「Shellshock」関連も
「Django」に複数の脆弱性 - 修正アップデートを公開
「Firefox」に複数脆弱性 - アップデートが公開
Mozilla、最新版ブラウザ「Firefox 134」を公開 - 複数の脆弱性を修正
「Firefox 135」がリリースに - 脆弱性11件を解消
「Firefox 135.0.1」がリリース - 脆弱性1件を解消
「Firefox 136」がリリース - ESR版では「クリティカル」脆弱性を修正

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.