今週のアップデートで修正された11件のうちの1つである不十分な入力検証の脆弱性は、任意のコード実行を許す可能性があり、現在も攻撃が行われています。
Googleは、今年発見されたChromeのゼロデイ脆弱性のうち、5件目となる積極的に悪用されている脆弱性に対し、水曜日にリリースされた安定版チャンネルのアップデートに含まれる一連の修正の一部としてパッチを適用しました。
このバグはCVE-2022-2856として追跡されており、共通脆弱性評価システム(CVSS)で高リスクと評価されています。Googleが公開したアドバイザリによると、「Intentsにおける信頼されていない入力の不十分な検証」に関連しています。
Googleは、同社のGoogle Threat Analysis Group(TAG)所属のAshley Shen氏とChristian Resell氏が7月19日にこのゼロデイバグを報告したことを明らかにしています。この脆弱性は任意のコード実行を許す可能性があります。また、アドバイザリでは他にも10件のChromeの問題に対するパッチが公開されました。
Intentsは、Chromeブラウザ内のAndroidデバイスでURIスキームの代わりに導入されたディープリンク機能であり、以前はこの処理をURIスキームが担当していました。これは、モバイルアプリ向けのさまざまなリンクオプションを提供する企業Branchによる説明です。
「window.locationやiframe.srcにURIスキームを割り当てる代わりに、Chromeでは開発者はこのドキュメントで定義されたIntent文字列を使用する必要があります」と同社はウェブサイトで説明しています。Intentは「複雑さを増す」ものの、「リンク内でモバイルアプリがインストールされていない場合も自動的に処理する」と投稿で述べています。
不十分な検証は、入力検証に関連しており、これは潜在的に危険な入力をチェックして、コード内や他のコンポーネントとの通信時に安全であることを確認するためによく使われる手法です。MITREのCommon Weakness Enumerationサイトによる説明です。
「ソフトウェアが入力を適切に検証しない場合、攻撃者はアプリケーションの他の部分が予期しない形式で入力を作成することができます」と同サイトの投稿は述べています。「これにより、システムの一部が意図しない入力を受け取り、制御フローの変更、リソースの任意制御、または任意のコード実行につながる可能性があります。」
エクスプロイトへの対策
通常通り、Googleは脅威アクターがさらなる悪用を防ぐため、広範囲にパッチが適用されるまでバグの詳細を公開しませんでした。この戦略は、あるセキュリティ専門家によれば賢明な判断だといいます。
「パッチが利用可能になった直後に、積極的に悪用されているゼロデイ脆弱性の詳細を公表することは深刻な結果を招く可能性があります。なぜなら、脆弱なシステムへのセキュリティアップデートの展開には時間がかかり、攻撃者はこの種の脆弱性を悪用しようと虎視眈々と狙っているからです」と、サイバーセキュリティ企業Tenableのシニアスタッフリサーチエンジニア、Satnam Narang氏はThreatpostへのメールで述べています。
また、他のLinuxディストリビューションやMicrosoft EdgeなどのブラウザもGoogleのChromiumプロジェクトをベースにしているため、情報を控えることは合理的です。もし脆弱性のエクスプロイトが公開されれば、これらも影響を受ける可能性があると彼は述べています。
「防御側にとって、その猶予期間は非常に価値があります」とNarang氏は付け加えています。
今回のアップデートで修正された脆弱性の大半は高リスクまたは中リスクに分類されていますが、GoogleはCVE-2022-2852として追跡されているFedCMのuse-after-free問題という重大なバグにもパッチを適用しました。これはGoogle Project ZeroのSergei Glazunov氏が8月8日に報告したものです。FedCM(Federated Credential Management APIの略)は、ウェブ上でのフェデレーテッドIDフローのためのユースケース特化型抽象化を提供します。Googleによる説明です。
今年5件目のChromeゼロデイパッチ
このゼロデイパッチは、Googleが今年これまでにパッチを適用した、積極的に攻撃されているChromeのバグとして5件目となります。
7月には、同社はWebRTC(Chromeのリアルタイム通信機能を提供するエンジン)に存在し、CVE-2022-2294として追跡される積極的に悪用されていたヒープバッファオーバーフローの脆弱性を修正しました。5月にも、同じくCVE-2022-2294として追跡され、積極的に攻撃されていた別のバッファオーバーフローの脆弱性にパッチが適用されました。
4月には、GoogleはCVE-2022-1364という、攻撃者がすでに悪用していたChromeのV8 JavaScriptエンジンに影響する型混同の脆弱性にパッチを適用しました。前月には、V8の別の型混同の問題であるCVE-2022-1096が積極的に攻撃されており、迅速なパッチ提供が行われました。
2月には、今年最初のChromeゼロデイである、Chromeのアニメーションコンポーネントにおけるuse-after-freeの脆弱性CVE-2022-0609に修正が施されました。この脆弱性はすでに攻撃を受けていました。その後、北朝鮮のハッカーが発見・修正前から数週間にわたりこの脆弱性を悪用していたことが明らかになりました。
翻訳元: https://threatpost.com/google-patches-chromes-fifth-zero-day-of-the-year/180432/