Malwarebytesは8月30日(米国時間)、「Chromium browsers can write to the system clipboard」において、Chromiumブラウザがユーザーの許可なしにシステムのクリップボードに書き込むことができると伝えた。Google Chromeやその他のChromiumベースのWebブラウザを使用している場合、Webサイトにアクセスすると、知らないうちにオペレーティングシステムのクリップボードに上書きされる可能性があることが明らかとなった。
-
Chromium browsers can write to the system clipboard
クリップボードは平たく言えば、コピー&ペーストあるいはカット&ペーストを行う際のデータが格納される場所を指す。クリップボードはコンピューティング作業において欠かせない機能であり、多くのユーザーに利用されている。しかしながら、この機能がユーザーのコントロール外となった場合、望ましくない結果につながる可能性がある。
FirefoxやSafariでWebサイトのコンテンツをシステムのクリップボードにコピーする場合、サイト上のコンテンツを選択してCtrl+Cなどの方法でクリップボードにコピーするというユーザーの作業が必要となる。しかしながら、Chromeおよびその他のChromiumベースのブラウザには、現在このような制限はないとされている。
ブラウザにおけるクリップボードの扱いに関して、特定のサイトにアクセスすることでテストできるという。利用しているブラウザで「Web Platform News」というサイトにアクセスし、メモ帳などの空のテキストエディタにクリップボードの内容を「ペースト」することで確認できる。クリップボードにコピーまたはカットしたことのない冗長なテキストメッセージが表示された場合、ブラウザは不正なクリップボード操作に対して脆弱であることがわかるとのことだ。
Malwarebytesは、修正プログラムが公開される前にサイバー犯罪者がこの脆弱性を悪用するかもしれないと指摘しており、切り取り、コピー、貼り付けの操作の間はWebページを開かないことや機密性の高い情報を貼り付ける場合はクリップボードの内容を確認することなどの緩和策を紹介している。
