Grammarlyは、個人的な文書やデータなど、ユーザーアカウントへのアクセスを可能にしていた、同社の「Chrome」向け拡張機能のセキュリティ脆弱性を修正した。
この脆弱性を発見したのは、GoogleセキュリティチームProject Zeroのセキュリティ研究者であるTavis Ormandy氏。このブラウザ向け拡張機能は、ユーザーが訪れるすべてのウェブサイトに認証トークンを露呈していたため、深刻度は「重大」だという。
つまり、あらゆるウェブサイトがユーザーの文書、履歴、ログ、そのほかのデータにアクセス可能であると、バグレポートで指摘している。
「このバグの深刻度を『重大』とランク付けしたのは、ユーザーの想定に大きく反しているからだ。ユーザーはあるウェブサイトへの訪問が、ほかのウェブサイトで入力したデータやドキュメントへのアクセスを許可したことになるとは思っていないはずだ」(Ormandy氏)
同氏は概念実証コードで4行のコードを使い、バグをトリガーしたと説明している。
この文法チェックの拡張機能は、2200万人以上がインストールしている。
Ormandy氏は米国時間2月2日にこの脆弱性について報告し、一般向けに公表するまでの猶予期間は90日としていた。Grammarlyは5日に自動アップデートを配布し、この問題に対処した。
Grammarlyの広報担当者にコメントを求めたが、回答は得られていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
.jpeg)
存在しないはずの「ターミナル0」が羽田に出現、なぜ?--異業種連携で「未来の空港」を研究開発へ 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル