セキュリティ

ビデオコーデック「VP8」に関連するゼロデイ脆弱性が発見されChromeやFirefoxがセキュリティアップデートを実施、すでに悪用された事例も


GoogleのChrome開発チームが2023年9月27日に、セキュリティの脆弱(ぜいじゃく)性に対処するためにデスクトップ版Chromeのアップデートを実施しました。今回のアップデートで修正された脆弱性には、ビデオコーデック「VP8」に関連するゼロデイ脆弱性が含まれており、すでにこの脆弱性が悪用された事例も確認されているとのことです。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html


Google fixes fifth actively exploited Chrome zero-day of 2023
https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/

A new Chrome 0-day is sending the Internet into a new chapter of Groundhog Day | Ars Technica
https://arstechnica.com/security/2023/09/new-0-day-in-chrome-and-firefox-is-likely-to-plague-other-software/

GoogleがリリースしたChromeのセキュリティアップデートには合計10個のセキュリティ修正プログラムが含まれており、特に重要度の高いものに「CVE-2023-5217」というゼロデイ脆弱性があります。CVE-2023-5217は、オープンソースのビデオコーデックライブラリ「libvpx」を組み込んだVP8のエンコーディングで、バッファオーバーフローが発生してしまうというものです。

CVE-2023-5217を発見したのは、Googleが運営する脅威分析チーム「Threat Analysis Group(TAG)」に所属するセキュリティ研究者のクレメント・レシーン氏です。すでにCVE-2023-5217は商用監視ソフトウェアのベンダーによって悪用されているそうで、Googleも実際にCVE-2023-5217を利用したエクスプロイトが存在していると認めています。

セキュリティ研究者のホセイン・ロトフィ氏によると、この脆弱性はVP8がエンコーダーの作成後にスレッド数変更を許可することで生じるとのこと。


また、VP8のゼロデイ脆弱性の影響はChromeだけにとどまらず、Mozillaが開発するFirefoxのデスクトップ版やAndroid版でも脆弱性のセキュリティアップデートが行われました。

Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, and Firefox Focus for Android 118.1.0. — Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/


今回の脆弱性はVP8に組み込まれたlibvpxが原因とみられていますが、サイバーソリューション企業のAnalygenceで上級主任アナリストを務めるウィル・ドーマン氏は、「パッケージがlibvpxが依存しているという事実は、必ずしもそれが脆弱だという意味ではありません。この脆弱性はVP8のエンコーディングに関するものであり、デコーディングにのみlibvpxを使用している場合は、心配する必要はありません」と述べています。とはいえ、ChromeやFirefox以外にも、今回のゼロデイ脆弱性の影響を受けるパッケージがあるかもしれないとのこと。

テクノロジー系メディアのArs Technicaは、「CVE-2023-5217の全容が明らかになるには、おそらくあと数日かかるでしょう。libvpxのプロジェクト開発者は、『パッチが適用されたバージョンのライブラリが利用可能かどうか』『ライブラリを使用するソフトウェアの悪用には具体的に何が必要なのか』といった質問に対し、すぐにはメールで返信しませんでした」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
ChromeのV8 JavaScriptエンジンのゼロデイ脆弱性に対する緊急アップデートをGoogleが実施、既に攻撃に悪用されまくっているため - GIGAZINE

Chromeで悪用事例も確認されたゼロデイ脆弱性を修正するための緊急アップデートが実施される - GIGAZINE

北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明 - GIGAZINE

GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処、2022年に入り6つ目のゼロデイパッチ - GIGAZINE

北朝鮮のハッカー集団がセキュリティ研究者を標的とした攻撃の手口をGoogleが公式ブログで解説 - GIGAZINE

Googleが配信停止した通販アプリに「Androidのゼロデイ脆弱性を狙う悪意のあるコード」が含まれていたことが証明される - GIGAZINE

iPhoneを実際に攻撃するゼロデイエクスプロイトチェーンが発見される、できる限り早くアップデート行う必要あり - GIGAZINE

3つのゼロデイ脆弱性が修正されたセキュリティアップデートを含むiOS 17.0.1およびiPadOS 17.0.1が配信される - GIGAZINE

iPhoneで悪意のあるファイルを受信するだけで任意のコードが実行されてしまうエクスプロイト「BLASTPASS」が発見される、悪名高いスパイウェアの配布にも活用されているとしてAppleがソフトウェアアップデートを配信済み - GIGAZINE

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.