ObsidianプラグインでMarkdownファイルを開くことがRCEにつながる脆弱性

Markdownファイルが実行コードに？脆弱性の概要

脆弱性は、Obsidian Tasksプラグインのクエリ機能に起因するものです。通常、Markdownファイルはテキストコンテンツとして扱われますが、この脆弱性により、特定のMarkdownファイルを開くことで、悪意のあるJavaScriptコードが実行される可能性がありました。例えば、「not done

filter by function require('child_process').execSync('calc') || true」という記述を含むMarkdownファイルを開くと、Windows環境で電卓アプリが起動するという実験的な検証が可能です。この事例では電卓アプリが起動するだけですが、悪意のあるコードが実行された場合、システムへの深刻な影響が想定されます。

プラグインエコシステムとセキュリティの課題

今回の脆弱性は、プラグインエコシステムにおけるセキュリティの重要性を示しています。Obsidianのようなアプリケーションは、プラグインの導入、Markdownのレンダリング、ユーザー生成コンテンツの同期、ローカル環境での動作などを可能にすることで、利便性を高めています。しかし、これらの機能は、信頼境界を曖昧にし、攻撃対象領域を拡大する可能性があります。セキュリティスキャンは、既知の脆弱性や依存関係だけでなく、製品固有の機能とコンテンツ、プラグインの相互作用に着目する必要があるということを浮き彫りにしました。

迅速な対応とプラットフォームの課題

プラグインの開発者は、ZeroQuarryからの報告に対し迅速に対応し、バージョン8.0.0でJavaScript実行をデフォルトで無効化するなどの対策を講じました。ただし、この機能は高度なユーザーのワークフローをサポートするために不可欠であり、完全に削除すると利便性が損なわれるというトレードオフが存在します。Obsidianのプラグインは、ローカル環境からのサンドボックス化が十分ではなく、安全なJavaScriptサンドボックス化のための普遍的な方法も存在しないとのことです。この問題は、プラグイン開発の自由度とセキュリティのバランスをどのように取るかという、プラットフォーム全体の課題を示唆しています。