Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト

Chrome 95 Update Patches Exploited Zero-Days, Flaws Disclosed at Tianfu Cup

2021/10/29 SecurityWeek — 木曜日に Google がリリースした Chrome 95 アップデートは、2つの積極的に悪用されているゼロデイ脆弱性と、先日に中国のハッキング・コンテストで公開された欠陥を修正するものだ。積極的に悪用されている脆弱性は、CVE-2021-38000 として追跡されており、Intents への信頼できない入力に対する不十分な検証の問題とされている。また、CVE-2021-38003 は、V8 JavaScript エンジンに影響をおよぼす不適切な実装の問題である。CVE-2021-38000 は9月に発見され、CVE-2021-38003は僅か3日前に確認されたものである。

2つのゼロデイ脆弱性は、Google の従業員により発見され、現時点では悪用および攻撃に関する情報は公開されていない。Google の Project Zero グループのデータによると、今年発見された十数個の Chrome の脆弱性は、ワイルドに悪用されているとのことだ。

今回の Chrome 95 アップデートには8件の修正が含まれ、そのうちの7つは深刻度 High に分類されている。MoyunSec VLab の Wei Yuan は、use-after-free のバグを発見して $10,000 を獲得した。これは、Google が提供する最高額の報奨金である。今週にパッチが当てられた CVE のうち2つは、先日に中国で開催されたハッキング・コンテスト Tianfu Cup で、2つの研究チームが発表したものであり、合計 $300,000 を獲得している。

Kunlun Lab と 360 Alpha Lab のチームは、サンドボックスのエスケープによりリモートコードが実行されるという、Chrome のエクスプロイト・チェーンを発見し、$150,000 ずつを獲得した。Google は、Tianfu Cup や Pwn2Own などの、ハッキング・コンテストで公開された脆弱性に対して、個別に報酬を支払うことはない。

SecurityWeek によると、Kunlun Lab が発見した脆弱性には、パッチが未適用の Windows カーネルのバグも含まれているとのことだ。Tianfu Cup の参加者たちは、Windows 10/Ubuntu/iPhone 13 Pro iOS 15/Microsoft Exchange/Chrome/Safari/Adobe Reader/Parallels Desktop/QEMU/Docker/VMware ESXi・Workstation/ASUS Router を対象としたエクスプロイトを実証し、総額で $1.9 million を獲得している。

この脆弱性に関しては、9月28日付の「Google Chrome の緊急アップデート:2つのゼロデイ脆弱性が悪用されている」で紹介しています。また、「中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落」という記事もポストしています。なお、Tianfu Cup の賞金総額である $1.9 million ですが、今年の Pwn2Own の総額 $440,000 と比べても大きいですね。

%d bloggers like this: