Google Chromeをハッキング、セキュリティ企業が「成功」と発表

[鈴木聖子，ITmedia]

　フランスのセキュリティ企業VUPENは5月9日、GoogleのWebブラウザ「Chrome」に実装されているセキュリティ機能をかわして同ブラウザをハッキングすることに成功したと発表した。

　VUPENのブログによると、ハッキングに使ったコードは同社が発見した未解決の脆弱性を利用して、Google Chromeのサンドボックスをはじめ、WindowsのAddress Space Layout Randomization（ASLR）やデータ実行防止（DEP）といったセキュリティ機能を全てかわすことができるという。コードを実行した後もクラッシュを誘発しないため、ユーザーにも気付かれにくいとしている。

　このコードは32ビットと64ビットの全Windowsに対して通用するといい、VUPENはWindows 7 SP1上でGoogle Chrome最新版のバージョン11.0.696.65をハッキングする様子を示した動画を併せて公開した。細工を施したWebページを閲覧すると、各種のペイロードが実行され、外部から計算機をダウンロードしてサンドボックスの外で起動することができてしまうと解説している。

　問題のコードや脆弱性の詳細はVUPENと契約している政府機関のみに提供し、一般には公表していないという。