Google Chrome安定版に脆弱性の恐れ、実証コードを研究者が公開――オープンソース開発で生じる空白期間に警鐘

研究者は、オープンソース開発の過程で行われた脆弱性の修正が、安定版に反映されるまでの時間差を突いて攻撃される可能性を指摘している。

[鈴木聖子，ITmedia]

　セキュリティ企業のExodus Intelligenceは、米GoogleのWebブラウザChromeに使われているJavaScriptエンジン「v8」の脆弱（ぜいじゃく）性を悪用し、Chrome安定版に対して通用するコンセプト実証コードを開発したと発表した。オープンソース開発の過程で行われた脆弱（ぜいじゃく）性の修正が、安定版に反映されるまでの時間差を突いて攻撃される可能性を指摘している。

　Google Chromeはオープンソースの開発モデルを採用し、6週間ごとにリリースする安定版のバージョンアップで機能強化や脆弱性の修正を行っている。

　しかしExodusの研究者によれば、このオープンソース開発モデルには、ソースツリーを参照すればどんなセキュリティ問題が修正されたかが分かる状態にありながら、その修正を盛り込んだ安定版が一般ユーザーに配信されるまでには時間がかかるという問題がある。

Chromeの脆弱性に対する対応が遅れ、攻撃にさらされかねないと警告するExodus Intelligenceのブログ記事

　Chromeでは安定版がリリースされる前に、非安定版のチャネルでテストや検証を重ねる。このため、数日から数週間の間、脆弱性に関する情報が実質的に公表されていながら、ユーザー側ではその脆弱性が修正されない期間が生じるという。

　この問題に関連してExodusの研究者が着目したのが今回のv8の脆弱性だった。開発段階のChromiumに関するトラッキングページは制限がかけられていて一般ユーザーが詳細を閲覧することはできない。しかし研究者は、今回のv8の脆弱性に関する「[TurboFan] Array.prototype.map wrong ElementsKind for output array」というタイトルを見て、「攻撃者が悪用コードをすぐに作成できる全ての材料がそこにある」と判断した。

　研究者はこのv8の脆弱性を突き、Chromeの安定版（バージョン73.0.3683.86）に対して通用する悪用コードをGitHubで公開した。ただし、サンドボックスをかわす脆弱性を併用しない限り、チェーンを完成させることはできないとしている。

　Exodusの研究者は、「こうした脆弱性に対する悪用コードは、たとえ寿命が短いとしても、攻撃者に利用される可能性がある」と警鐘を鳴らしている。