ブラウザのV8 JavaScriptエンジンに新たな脆弱性が発見されたため、ChromeとChromiumが更新されました

Google は、V8 JavaScript エンジンの脆弱性を悪用した新たなライブ エクスプロイトが発見されたことを受けて、Chrome 89 の新しいアップデートを発表しました。

脆弱性の1つはV8に影響します。V8は1月にヒープオーバーフローのバグが見つかり、一連のアップデートが必要となりました。今回のV8の脆弱性に加え、ChromeのレンダリングエンジンBlinkにもメモリ使用後の解放（use-after-free）の脆弱性が存在します。

Blinkの脆弱性は、先週Zero Day InitiativeのPwn2Ownコンペティションで発見されました。正式な情報源からはまだ概念実証コードは公開されていませんが、バグハンターのDataflow Securityが、動作中の非常に短いGIF画像をTwitterに投稿しました。

確認済み！@dfsec_it の @bkth_ と @_niklasb が Typer Mismatch バグを悪用し、#Chrome レンダラーと #Microsoft #Edge を攻撃しました。賞金総額10万ドルと Master of Pwn ポイント 10 ポイントを獲得しました。#Pwn2Own pic.twitter.com/6mpl5GPz6c

— ゼロデイ・イニシアティブ (@thezdi) 2021年4月7日

それでもなお、Googleはブラウザの新バージョン89.0.4389.128のアップデートノートで、CVE-20201-21206（Blink）およびCVE-2021-21220（V8）に対するエクスプロイトが「野放しで存在する」と警告しています。また、SAPが先週明確に指摘したように、ますます高度な技術を持つ犯罪者がパッチをリバースエンジニアリングして、何から保護されているのかを解明することも珍しくありません。犯罪者は、パッチを適用していない環境を標的に急ぎます。

GoogleはこれらのCVEの深刻度を「高」と評価しましたが、スコアの詳細とスキーマは明らかにされていません。V8の脆弱性は、「x86_64におけるV8の信頼できない入力の検証が不十分」とのみ説明されていますが、研究者や悪意のあるユーザーの間で注目が高まっているように見えるため、注目に値します。1月には、V8のヒープ破損脆弱性を悪用したエクスプロイトが実際に確認されたことを受けて、Chromeのアップデートが実施されました。

4月14日の発行時点で

ChromiumブラウザメーカーVivaldiのセキュリティ専門家、ターキン・ウィルトン・ジョーンズ氏はThe Registerに対し、本日のアップデートはごく普通のものであり、「同じソフトウェアで2つ以上の問題が立て続けに修正されるのは驚くことではない」と語った。

彼はさらに、Vivaldi が Chromium のアップデートを自社の次回のマイナーアップデートに組み込む予定だと述べ、次のようにコメントしました。「重要なのは、潜在的に深刻な問題に対してどれだけの調査が行われ、どれだけ迅速に問題が修正されるかです。Chromium は、その両方において優れた評価を得ており、サンドボックス技術は追加の保護層として機能し、多くの場合、問題を完全に軽減または緩和します。たとえサンドボックスを突破できなかったとしても、プロジェクトは問題を非常に深刻に受け止めています。」

アクセス管理会社Thycoticのチーフセキュリティサイエンティスト、ジョセフ・カーソン氏はThe Registerに対し、「RCE（リモートコード実行）により、攻撃者はエンドポイントでコードを実行できる可能性があり、そのためGoogleは迅速に対応してこれらの脆弱性を修正することになった。Googleが迅速に対応すれば、ユーザーも迅速に対応する必要があるという緊急の兆候となる」と語った。

これに加えて、Trustwave の研究部門 SpiderLabs の EMEA ディレクター、エド・ウィリアムズ氏は、このパッチによって「数多くの興味深い疑問」が生じたと述べた。

「安全なコードを書くのがいかに難しいかを示している」と彼は述べた。「Googleが、その豊富な知識、経験、そして専門性をもってしても脆弱なコードを書いているとしたら、それは私たち凡人にとって何を意味するのでしょうか？ 私にとって、その答えは多角的なアプローチにあります。セキュア開発ライフサイクル（SDLC）とそれに伴うすべてが鍵であり、さらに主要領域における堅牢で一貫性のある侵入テストプログラムも必要です。」

ウィリアムズ氏はまた、2つの脆弱性を発見した「セキュリティ研究コミュニティ」を称賛した。®