Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性
■□記事抜粋:ITmedia□■
スマートフォンなどの小型デバイスに対し、DRAMの設計上の弱点を突く「Rowhammer攻撃」を仕掛けてWebブラウザのセキュリティ対策をかわすことができてしまう脆弱性が、オランダ・アムステルダム自由大学の研究チームによって発見された。
米セキュリティ機関CERT/CCが2018年5月3日に公開した脆弱性情報によると、この問題はGoogle ChromeやMozilla Firefoxなどのブラウザが影響を受ける。
CERT/CCによると、この攻撃手法は「GLitch」と命名され、CPUとGPUが同じメモリを共有している、スマートフォンなどの小型デバイスに対してのみ通用する。まず、本来はアクセスできない情報を読み取る「サイドチャネル攻撃」を仕掛けて物理メモリの配置を特定し、続いてRowhammer攻撃によって、メモリ内でビット反転を誘発させる。
この手口が使われた場合、ユーザーが脆弱性のあるデバイスで不正なWebサイトを閲覧した際に、Webブラウザのセキュリティ対策をかわされてしまう恐れがある。
研究チームはサイドチャネル攻撃とRowhammer攻撃を組み合わせることによって、Androidを搭載した「Nexus 5」で、Firefoxのサンドボックスをかわすことに成功したという。ただし、実証に使ったNexus 5は2013年に発売されたもので、セキュリティアップデートが適用されたのは2015年10月が最後だったとCERT/CCは指摘している。
問題の発覚を受け、Google ChromeとMozilla Firefoxはそれぞれ更新版が公開され、今回の攻撃に利用されたWebGLの機能を無効にする措置を講じたという。一方、Microsoftのブラウザは影響を受けないとされる。
▶▶▶全文は下記リンクより
情報源: ITmedia
Leave a reply