論文の概要: An Empirical Study of JavaScript Inclusion Security Issues in Chrome Extensions

• arxiv url: http://arxiv.org/abs/2505.19456v1
• Date: Mon, 26 May 2025 03:22:37 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-27 16:58:43.136399
• Title: An Empirical Study of JavaScript Inclusion Security Issues in Chrome Extensions
• Title（参考訳）: ChromeエクステンションにおけるJavaScriptのインクルージョンセキュリティ問題に関する実証的研究
• Authors: Chong Guan,
• Abstract要約: 36,324のChromeエクステンションの分析により、350,784のJavaScriptインクルージョンが明らかになった。 これらのインクルージョンの大部分はエクステンション内のローカルファイルに由来するが、22の脆弱性のあるリモートJavaScriptインクルージョンが特定されている。 これらのリモートインクルージョンは、悪意のあるアクターがエクステンションの実行コンテキスト内で任意のコードを実行する可能性を示す。
• 参考スコア（独自算出の注目度）: 0.10878040851638002
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: JavaScript, a scripting language employed to augment the capabilities of web browsers within web pages or browser extensions, utilizes code segments termed JavaScript inclusions. While the security aspects of JavaScript inclusions in web pages have undergone substantial scrutiny, a thorough investigation into the security of such inclusions within browser extensions remains absent, despite the divergent security paradigms governing these environments. This study presents a systematic measurement of JavaScript inclusions in Chrome extensions, employing a hybrid methodology encompassing static and dynamic analysis to identify these inclusions. The analysis of 36,324 extensions revealed 350,784 JavaScript inclusions. Subsequent security assessment indicated that, although the majority of these inclusions originate from local files within the extensions rather than external servers, 22 instances of vulnerable remote JavaScript inclusions were identified. These remote inclusions present potential avenues for malicious actors to execute arbitrary code within the extension's execution context. Furthermore, an analysis of JavaScript library utilization within Chrome extensions disclosed the prevalent use of susceptible and outdated libraries, notably within numerous widely adopted extensions.
• Abstract（参考訳）: JavaScriptは、Webページやブラウザエクステンション内のWebブラウザの機能を強化するために使われるスクリプト言語で、JavaScriptインクルージョンと呼ばれるコードセグメントを使用している。 ウェブページにおけるJavaScriptのインクルージョンのセキュリティ面は、かなり精査されているが、ブラウザ拡張におけるそのようなインクルージョンのセキュリティに関する徹底的な調査は、これらの環境を管理する異なるセキュリティパラダイムにもかかわらず、いまだに欠如している。 本研究は、静的および動的解析を含むハイブリッド手法を用いて、ChromeエクステンションのJavaScriptインクルージョンを系統的に測定し、これらのインクルージョンを同定する。 36,324の拡張機能の分析により、350,784のJavaScriptインクルージョンが明らかになった。 その後のセキュリティ評価では、これらのインクルージョンの大部分は外部サーバではなく、エクステンション内のローカルファイルに由来するが、22の脆弱性のあるリモートJavaScriptインクルージョンが特定された。 これらのリモートインクルージョンは、悪意のあるアクターがエクステンションの実行コンテキスト内で任意のコードを実行する可能性を示す。 さらに、ChromeエクステンションにおけるJavaScriptライブラリの利用状況の分析により、多くの広く採用されている拡張の中で、感受性と時代遅れのライブラリが広く使用されていることが明らかになった。

関連論文リスト

• Browser Security Posture Analysis: A Client-Side Security Assessment Framework [0.0]
  本稿では、ブラウザ内で完全にJavaScriptとWebAssemblyで動作する、ブラウザベースのクライアント側セキュリティアセスメントツールキットを提案する。 ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。 本稿では,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
  論文  参考訳（メタデータ） (2025-05-12T20:38:19Z)
• A Study on Malicious Browser Extensions in 2025 [0.3749861135832073]
  本稿は,Mozilla Firefox と Chrome を中心に,悪意あるブラウザエクステンションの2025 年の進化する脅威状況について考察する。 私たちの研究はFirefoxとChromeのセキュリティメカニズムを回避し、悪意のあるエクステンションをMozilla Add-ons StoreとChrome Web Store内で開発、公開、実行することが可能であることを実証しました。
  論文  参考訳（メタデータ） (2025-03-06T10:24:27Z)
• Fakeium: A Dynamic Execution Environment for JavaScript Program Analysis [3.7980955101286322]
  Fakeiumは、JavaScriptプログラムの効率的で大規模な動的解析のために設計された、新しい、オープンソースで軽量な実行環境である。 Fakeiumは、API呼び出しと文字列リテラルを追加することで、従来の静的解析を補完する。 Fakeiumの柔軟性と、特に難解なソースで隠れたAPI呼び出しを検出する能力は、セキュリティアナリストが悪意のある振る舞いを検出する貴重なツールとしての可能性を強調している。
  論文  参考訳（メタデータ） (2024-10-28T09:27:26Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• Did I Vet You Before? Assessing the Chrome Web Store Vetting Process through Browser Extension Similarity [3.7980955101286322]
  このタイプのソフトウェアで最大の配布プラットフォームであるChrome Web Store (CWS) におけるマルウェアやその他の侵害拡張の頻度を特徴付ける。 本研究は,侵害拡大の86%が前回の拒否項目と極めて類似しているため,CWS拒否プロセスにおいて大きなギャップがあることを明らかにする。 また,CWSがフラグ付けしたマルウェアの1%がマルウェア対策として悪用されていることも明らかにした。
  論文  参考訳（メタデータ） (2024-06-01T09:17:01Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• Manifest V3 Unveiled: Navigating the New Era of Browser Extensions [53.288368877654705]
  2020年、Googleは、2023年1月までに以前のバージョン2(V2)を置き換えることを目的として、Manifest Version 3(V3)による拡張開発の変更を発表した。 本稿では,Manifest V3エコシステムを包括的に分析する。
  論文  参考訳（メタデータ） (2024-04-12T08:09:26Z)
• Static Semantics Reconstruction for Enhancing JavaScript-WebAssembly Multilingual Malware Detection [51.15122099046214]
  WebAssemblyを使うと、攻撃者は言語間の相互運用でJavaScriptマルウェアの悪意のある機能を隠せる。 JavaScriptとWebAssembly間の複雑な相互運用とセマンティックな多様性のため、JavaScript-WebAssemblyマルチ言語マルウェア(JWMM)の検出は難しい。 本稿では,JWMMの静的検出を高速化する最初の手法であるJWBinderを紹介する。
  論文  参考訳（メタデータ） (2023-10-26T10:59:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。