Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セキュリティ機能を回避する「GLitch」攻撃が明らかに - 一部スマホでPoCが動作

脆弱性が存在するデバイスから悪意のあるウェブサイトを閲覧した際、脆弱性が悪用されると、ブラウザのセキュリティ機能が回避されるおそれがある。

研究グループが用意した実証コード(PoC)では、2013年にリリースされたLG Electronics製の「Nexus 5」「LG G2」や、HTC製の「HTC One」といったAndroid端末上で動作するFirefoxにおいて、リモートよりサンドボックスをバイパスできることを確認したという。研究者はFireFox特有の問題ではなく、あくまでPoiCの一例としている。

ただし、脆弱性の悪用はリバースエンジニアリングに依存するところも大きく、今回のPoCは、もともと「Rowhammer」に脆弱であることが判明しており、研究室にあった「Snapdragon 800」「同801」搭載端末のみの動作にとどまるとし、ほかの環境が影響を受けるかについては、さらなる検証が必要と説明している。

今回明らかになった問題に対し、「Chrome」「Firefox」といったブラウザでは、精度が高いタイマーを利用しないよう対策を講じたアップデートがすでにリリースされているが、GPUにおいてメモリを反転させることを防ぐための緩和策はまだ用意されておらず、研究グループでは、Googleと問題解決に向けて議論を行っているところだという。

(Security NEXT - 2018/05/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
「auひかり」向けのブロードバンドルータに複数の脆弱性
Apple、「iOS」「iPadOS」のセキュリティアップデートを公開
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
ブラウザ「MS Edge」にアップデート - 9件の脆弱性を修正
Google、ブラウザ最新版「Chrome 123」をリリース - 複数脆弱性を修正
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
Ivantiの複数製品に深刻な脆弱性 - 早急なパッチ適用を強く推奨