MicrosoftがChromeOSで発見した重大な脆弱性とは？

2022年4月下旬に発見され、速やかに修正されたChromeOSのインシデント「CVE-2022-2587」は、攻撃者がオーディオサーバーの脆弱(ぜいじゃく)性を悪用してリモートでコードを実行する危険性があるというものでした。この脆弱性がいかに危険だったかについて、発見者のMicrosoft研究員であるJonathan Bar Or氏が解説しました。

Uncovering a ChromeOS remote memory corruption vulnerability - Microsoft Security Blog
https://www.microsoft.com/security/blog/2022/08/19/uncovering-a-chromeos-remote-memory-corruption-vulnerability/

Microsoft details critical vulnerability in ChromeOS • The Register
https://www.theregister.com/2022/08/23/microsoft_chromeos_bug/

Bar Or氏が発見した脆弱性は、USBスピーカーやBluetoothヘッドセットなどの新たに接続された機器にオーディオ通信を割り当てるD-Busの1つ「org.chromium.cras(ChromiumOS Audio Server)」に存在したものです。

Bar Or氏の調査により、このサービスにはSetPlayerIdentityという関数があり、identityという文字列の引数を入力として受け取りますが、この関数内からはC言語のstrcpyという関数が呼び出されていることが判明したとのこと。Bar Or氏はstrcpy関数について「経験豊富なセキュリティエンジニアにとって、strcpy関数といえばすぐにピンとくるでしょう」と指摘。strcpy関数は変数の適合性をチェックする境界チェックを行わないため、さまざまなメモリ破壊の脆弱性を引き起こす可能性があるそうです。

このstrcpy関数により、メモリのうちプログラムの動作のために確保されている「ヒープ領域」と呼ばれる領域がオーバーフローを起こし、メモリが破壊される可能性があるとのこと。Bar Or氏によると、コマンドラインから200文字の文字列をD-Busに送信するだけでオーバーフローを引き起こせるほか、ブラウザやBluetoothを介してリモートでバグを誘発できることも判明しています。

セキュリティが十分に強化されたChromeOSでこの問題を悪用するには脆弱性を連鎖させる必要があるとのことですが、Bar Or氏は今回の問題の危険性について「Googleの迅速な対応を促すには十分」としています。Microsoftチームはこの問題の重大性を10点満点中9.8点と位置づけました。

なお、脆弱性は発見後すぐにGoogleに報告され、およそ1カ月後に修正パッチがリリースされました。