ベトナムの会社がChromeの最新の脆弱性を発見した。InformationWeekがウェブサイトで報じた。Bach Khoa Internet Security(BKIS)は、Chrome 0.2.149.27リリースは重大なバッファオーバーフローの不具合を抱えており、リモートハッカーによってPCがコントロールされる恐れがあると指摘する。BKISはこの脆弱性をGoogleに報告したという。
以下では、この脆弱性と、それを利用した攻撃方法についてのBKISの説明を紹介する。
この脆弱性は、「名前を付けてページを保存」機能を処理する際の境界エラーに起因するものだ。非常に長いタイトル(HTMLのTITLEタグ)の悪意のあるページを保存するとき、プログラムによってスタックオーバーフローが発生し、攻撃者がユーザーのシステムで任意コードを実行することが可能になる。
ハッカーは脆弱性を利用して攻撃を行うために特別なウェブページを作成し、悪意のあるコードを潜ませる可能性がある。そしてユーザーをだましてそのウェブサイトに誘導し、ページを保存するように仕向けるのだ。その直後にコードが実行され、ハッカーは影響を受けたシステムを使用する権限を得る。
先週前半に、セキュリティ研究者のRishi Narang氏は、未定義のハンドラによるChromeの動作に関する脆弱性を報告した。また、別の研究者のAviv Raff氏は概念実証デモを開発し、Chromeが「じゅうたん爆撃」の攻撃を受ける可能性を示した。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス