Chrome拡張機能のローカル脆弱性:サンドボックスエスケープ
2025-05-01
Chrome拡張機能に重大なセキュリティ脆弱性が発見されました。悪意のある拡張機能は、ローカルで実行されているモデルコンテキストプロトコル(MCP)サーバーと通信し、Chromeのサンドボックスをバイパスして、ローカルファイルシステム、Slack、WhatsAppなどの機密リソースにアクセスし、ホストの完全な制御権を取得する可能性があります。この脆弱性は、特別な権限を必要とせずに、あらゆるChrome拡張機能に影響します。根本原因は、MCPサーバーでの認証の欠如であり、認証されていないアクセスを許可しています。研究者らは、ファイルシステムとSlackへのアクセスを実証しました。これは、ローカルMCPサーバーを実行する際のセキュリティ強化の緊急の必要性を強調しており、企業セキュリティにとって大きな脅威となります。