ベトナムの会社がChromeの最新の脆弱性を発見した。InformationWeekがウェブサイトで報じた。Bach Khoa Internet Security(BKIS)は,Chrome 0.2.149.27リリースは重大なバッファオーバーフローの不具合を抱えており,リモートハッカーによってPCがコントロールされる恐れがあると指摘する。BKISはこの脆弱性をGoogleに報告したという。
以下では,この脆弱性と,それを利用した攻撃方法についてのBKISの説明を紹介する。
この脆弱性は,「名前を付けてページを保存」機能を処理する際の境界エラーに起因するものだ。非常に長いタイトル(HTMLのTITLEタグ)の悪意のあるページを保存するとき,プログラムによってスタックオーバーフローが発生し,攻撃者がユーザーのシステムで任意コードを実行することが可能になる。
ハッカーは脆弱性を利用して攻撃を行うために特別なウェブページを作成し,悪意のあるコードを潜ませる可能性がある。そしてユーザーをだましてそのウェブサイトに誘導し,ページを保存するように仕向けるのだ。その直後にコードが実行され,ハッカーは影響を受けたシステムを使用する権限を得る。
先週前半に,セキュリティ研究者のRishi Narang氏は,未定義のハンドラによるChromeの動作に関する脆弱性を報告した。また,別の研究者のAviv Raff氏は概念実証デモを開発し,Chromeが「じゅうたん爆撃」の攻撃を受ける可能性を示した。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
