ChromeとFirefoxに新たなゼロデイ脆弱性。攻撃を受けている

世界で最も普及しているソフトウェアの一部に新たなゼロデイ脆弱性が発見されました。Googleによると、この脆弱性は現在も活発に攻撃を受けているとのことです。Googleのセキュリティ調査によると、この脆弱性はWebMファイル形式で広く使用されているメディアエンコードシステムに起因しています。Chrome、Firefox、Skype、VLCなど、ほぼすべての主要OSで、多数のプログラムが攻撃を受ける可能性があります。Chromeを今すぐアップデートしてパッチを適用してください。

Googleはこのバグを「CVE-2023-5217」というラベルの付いた、注目度の高いセキュリティ問題として文書化しています。「libvpxのvp8エンコーディングにおけるヒープバッファオーバーフロー」と説明されていますが、ソフトウェア用語に習熟していない方のために説明すると、これは特定の状況において、プログラムがメモリバッファに設計上の想定を超えるデータを記録する可能性があることを意味します。その結果、プログラムが通常想定できない他のデータが上書きされ、予期せぬセキュリティ問題が発生する可能性があります。

スタートレック風の比喩が必要なら、ケーキの生地を型に流し込みすぎて、こぼれた生地がオーブンで火事になったと想像してみてください。ケーキの生地はあなたのデータ、オーブンはあらゆるソフトウェア、そして火事は…悪意のあるハッカーが利用できる危険なものです。いや、完璧だとは言っていませんよ。

Ars Technicaによると、MozillaはすでにFirefoxにも同じ脆弱性があることを確認しており、VP8 WebM形式は世界中で非常に多くのソフトウェアで使用されているため、深刻な問題となる可能性があるとのことです。Skypeのような長年愛用されているビジネスツールから、VLCのようなユーザーに人気のアプリケーション、AMD、Nvidia、Logitechなどのハードウェア関連プログラムまで、あらゆるものが影響を受けています。現時点ではどのプログラムに脆弱性があるのか​​は不明ですが、広範囲に及ぶ問題を引き起こす可能性は否定できません。

残念なことに、この脆弱性は既に悪用されているようですが、Googleは具体的な場所や方法については明らかにしていません。朗報としては、Chrome（バージョン117）とFirefox（バージョン118）の両方で既にパッチが適用されているため、簡単に修正できるようです。さらに朗報なのは、この脆弱性はメディアがエンコードされた場合にのみ発生するようで、デコードされた場合には発生しないということです。そのため、影響を受けるプログラムのリストは、libvpxライブラリを使用するすべてのプログラムに及ぶとは限りません。

著者: Michael Crider、PCWorld スタッフライター