GoogleがChromium脆弱性のエクスプロイトコードを誤公開
原題: Google publishes exploit code threatening millions of Chromium users
なぜ重要か
主要ブラウザエンジンの長期未修正脆弱性が公開されたことで、Web セキュリティの重要性と責任ある開示プロセスの課題が浮き彫りになった
Googleが水曜日、Chromiumブラウザの未修正脆弱性のエクスプロイトコードを誤って公開した。この脆弱性は2022年末に研究者が報告したもので、42カ月間未修正のまま。Chrome、Microsoft Edge等のChromiumベースブラウザ数百万ユーザーに影響する可能性がある。
独立研究者のLyra Rebaneが2022年末にGoogleに報告した脆弱性のエクスプロイトコードが、修正前にChromiumバグトラッカーに公開された。この脆弱性はBrowser Fetch APIを悪用し、攻撃者がWebサイト経由でユーザーのブラウザ使用状況を監視したり、プロキシサーバーとして利用してDDoS攻撃を実行することを可能にする。接続はブラウザやデバイスの再起動後も維持される場合がある。脆弱性の深刻度はS2(3番目に高い)、優先度はP1(2番目に高い)に分類されており、Chromium開発者は「深刻な脆弱性」と評価している。Rebaneによると、この種の限定的なバックドアを通じて数千から数百万のデバイスをボットネットに組み込むことが可能で、将来的に別の脆弱性と組み合わせることでより深刻な被害をもたらす可能性がある。Googleは投稿を削除したが、アーカイブサイトにはエクスプロイトコードが残っている。同社は現在修正に取り組んでいるとコメントしている。