「ChromeOS」の深刻な脆弱性、マイクロソフトが発見の経緯を発表

今回は「「ChromeOS」の深刻な脆弱性、マイクロソフトが発見の経緯を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「ChromeOS」は、レガシーバージョンの「Windows」や「macOS」に比べるとセキュアであると見なされているが、Microsoftは最近、ChromeOSのオーディオサーバーに、遠隔地からの攻撃に利用可能なたちの悪い脆弱性を発見した。その深刻度スコアは10点中の9.8だという。

 ChromeOSは、Googleが開発し、オープンソース化した「Chromium OS」から派生した同社のプロプライエタリーなOSだ。これらOSはいずれもLinuxに端を発している。

 Microsoftのセキュリティ研究者であるJonathan Bar Or氏は、オーディオ信号をUSBスピーカーやBluetoothヘッドセットといった周辺機器にルーティング(切替/接続)する「ChromiumOS Audio Server(CRAS)」サービスに潜む脆弱性を発見した。

 この脆弱性を悪用することで攻撃者は、メタデータが巧妙に細工されたオーディオをブラウザー上や、Bluetooth接続経由で再生させ、遠隔地からローカルメモリー破壊を引き起こせるようになる。

 同氏はMicrosoftのセキュリティブログで「攻撃者は、細工したオーディオファイルを新曲と称するなどしてユーザーを誘い、ブラウザー上や、ペアリングされたBluetooth機器から再生させたり、Adversary-in-the-Middle(AiTM)攻撃を用いて遠隔地からこの脆弱性を悪用したりすることが可能になっていた」と説明している。

 Microsoftは4月にこの問題をGoogleに報告していた。Googleは6月中旬にパッチをリリースしたが、修正作業自体は報告から1週間を待たずに開始していた。Googleは、この脆弱性(共通脆弱性識別子「CVE-2022-2587」)がCRASにおける領域外への書き込みに起因する深刻度の高いものだと説明している。

 Or氏は、2022年に入ってLinuxを分析していた際に発見した、D-Busの脆弱性に類似する問題がChromeOSにも存在しているのではないかと考え、調査を実施した。

 ChromeOSはLinuxをベースにしているため、同様の問題を抱えている可能性もあった。しかし同氏によると、ChromeOSにはGoogle独自のセキュリティ強化策が施されているため、攻撃を遂行するにはたいていの場合、複数の脆弱性を組み合わせて突く必要があるという。この独自強化策のおかげで、ChromeOSで発見される脆弱性の数はWindowsやmacOSよりも少なくなっている。

 オーディオサーバーに潜んでいた今回の問題は、ChromeOS固有のメモリー破壊を可能にする脆弱性であり、Or氏がSetPlayerIdentityという名前の関数の動作を調査していた際に、その関数内からCのライブラリー関数「strcpy」(転送元として指定された領域上の文字列を、転送先として指定された領域にコピーする関数)が呼び出されていることで発覚したのだという。

 同氏はMicrosoftの同ブログに「strcpy関数は、境界のチェックを一切しないため、さまざまなメモリー破壊の脆弱性を引き起こすことで知られており、それ故に安全ではないとみなされている。strcpyを起動する前には、ユーザーが提供した識別引数の境界チェックを実行していないため(D-Busメッセージのデフォルトメッセージ長の制限を除く)、ヒープ領域に対するバッファオーバーフローが確実に発生し、メモリー破壊の脆弱性が引き起こされる」と記している。

 Or氏はまた、Googleによる迅速な対応を称賛した。「われわれは修正の速さと全体的なプロセスの有効性に感心した。1週間足らずでコードがコミットされ、複数のマージを経てユーザーに一般提供された。この問題に対処したGoogleのチームとChromiumコミュニティーの努力に感謝する」(同氏)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
処⽅箋⼊⼒⽀援クラウドなど手がける東大発「mediLab」が調剤薬局向け販売で三菱電機ITソリューションズと提携
ヘルステック
2021-05-12 09:10
ヤフーとLINEが経営統合 “新生”Zホールディングス誕生 AIに積極投資、2023年度に売上2兆円目指す
くわしく
2021-03-03 11:30
クラウドフレアの大規模障害、原因はアーキテクチャーの変更
IT関連
2022-06-23 04:55
CTC、カーボンニュートラルに関連するサービスメニューを体系化
IT関連
2022-09-03 02:38
ストリーミングメディアソフトメーカーPlexが広告付きストリーミングと事業拡大のため54.6億円の資金調達を実施
ネットサービス
2021-04-30 00:56
“ARお絵かき”が進化? 現実に置かれた物体と連動する技術「RealitySketch」 Adobeなど開発 :Innovative Tech
イラスト・デザイン
2021-03-19 07:10
楽天モバイル、社員逮捕巡りソフトバンクに反論 「営業秘密を業務に使った事実は確認していない」
セキュリティ
2021-01-13 11:35
グーグルがGlobalFoundriesと提携、チップ開発のオープンソース化に向け
IT関連
2022-08-06 08:54
アジア系米国人コミュニティを対象のデジタルバンク立ち上げのためCheeseが3.9億円調達
フィンテック
2021-05-07 01:11
シャープが「水曜どうでしょう」のディレクターをあえて起用した理由 コラボ首掛けスピーカーの発売で
くらテク
2021-07-15 01:38
はんこ産地、山梨県も電子申請を推進 「押印の省略はオンライン化と無関係」
IT関連
2021-03-16 05:49
Disney+は今夏、新たに42カ国と11の地域でサービス開始
IT関連
2022-01-30 22:07
表記揺れの影響を受けず不動産物件を特定できる「不動産共通ID」ベータ版が4月公開、APIとして提供
パブリック / ダイバーシティ
2021-03-16 16:16
ゲーミフィケーションを活用したコネクテッドローイングマシンのErgattaが約32.8億円を調達
ヘルステック
2021-05-02 21:02