Pwn2Own Vancouver ハッキングコンテスト:Mozilla 製品群の2つのゼロデイ脆弱性が FIX

Mozilla fixes Firefox, Thunderbird zero-days exploited at Pwn2Own

2022/05/24 BleepingComputer — Pwn2Own Vancouver 2022 ハッキングコンテストで悪用が証明されたゼロデイ脆弱性に対応するために、Mozilla は複数の製品に対してセキュリティ・アップデートを公開した。具体的には、Firefox/Firefox ESR/Firefox for Android/Thunderbird の脆弱なバージョンを実行している、モバイル/デスクトップ端末で悪用に成功した攻撃者に対して、JavaScript コード実行を許してしまうという、2つの深刻な脆弱性が存在する。

これらのゼロデイ脆弱性は、Firefox 100.0.2/Firefox ESR 91.9.1/Firefox for Android 100.3/Thunderbird 91.9.1 において修正されている。Pwn2Own の初日に Manfred Paul (@_manfp) は、プロトタイプ汚染と不適切な入力検証のバグをデモし、$100,000 と 10 Master of Pwn ポイントを獲得した。

1つ目の脆弱性 CVE-2022-1802 は、Top-Level Await 実装におけるプロトタイプ汚染の欠陥であり、攻撃者がプロトタイプ汚染を悪用して JavaScript の Array オブジェクトのメソッドを破壊し、特権コンテキストで JavaScript コード実行を達成できるというものである。

2つ目の脆弱性 CVE-2022-1529 は、プロトタイプ汚染インジェクション攻撃において、Java オブジェクトのインデックスの不適切な入力検証を悪用するものである。Mozilla は、「攻撃者は JavaScript オ ブジェクトへのダブル・インデックスに使用される親プロセスにメッセージを送信し、プロトタイプ汚染を引き起こし、攻撃者が制御する JavaScript を、特権を持つ親プロセスで実行できた」と説明している。

月曜日には CISA も、これらのセキュリティ欠陥の悪用により、影響を受けるシステムを攻撃者が制御する可能性があるとし、管理者とユーザーに対してパッチを適用するよう奨励した。

Mozilla は、Pwn2Own ハッキングコンテストで Manfred Paul により、これらの脆弱性の悪用が証明された2日後にパッチを適用した。ただし、Trend Micro の Zero Day Initiative によると、セキュリティ修正プログラムを公開するまでには 90日間の猶予があるため、Pwn2Own の直後に急いでパッチを公開する必要はないとのことだ。

Pwn2Own 2022 Vancouver は 5月20日に終了し、3日間にわたり 17人の競技者が、ゼロデイ攻撃とエクスプロイト・チェーンに関する 21回の試行により、報奨金 $1,155,000 を獲得した。また、4月19日〜4月21日で開催された、2022 Pwn2Own Miami コンテストでは、ICS/SCADA製品を標的とした 26のゼロデイ・エクスプロイトにより、セキュリティ研究者たちは $400,000 を獲得している。

今年の Pwn2Own は、4月はマイアミで、5月はバンクーバーで開催されました。マイアミでのテーマは ICS (Industrial Control Systems) だったので、対象となるターゲットとしては、あまり聞き慣れない名前が並んでいました。しかし、バンクーバーでは、この Mozilla だけではなく、Windows 11/Microsoft Teams/Ubuntu Desktop/Apple Safari/Oracle Virtualbox などがターゲットに選ばれたようです。それにしても、Mozilla のパッチ適用のスピードは素晴らしいですね。

%d bloggers like this: