Microsoftは8月19日(米国時間)、「Uncovering a ChromeOS remote memory corruption vulnerability - Microsoft Security Blog」において、ChromeOSのコンポーネントにメモリ破壊の脆弱性が存在していたと伝えた。MicrosoftはGoogleとこの脆弱性に関する情報を共有しており、どのように脆弱性が引き起こされるのか、どのような影響が考えられるのかの検証が行われている。

  • Uncovering a ChromeOS remote memory corruption vulnerability - Microsoft Security Blog

    Uncovering a ChromeOS remote memory corruption vulnerability - Microsoft Security Blog

オーディオメタデータの操作により、リモートでトリガーできることが明らかとなった。攻撃者によってこの脆弱性が悪用され、サービス運用妨害(DoS: Denial of Service)また最悪の場合、リモートコード実行(RCE: Remote Code Execution)が実行されてしまうリスクがある。D-Busサービスとそのハンドラコードを監査することで発覚したとされている。

Microsoftのセキュリティ研究者は、この脆弱性の影響を慎重に検討した上で2022年4月にGoogleとこの脆弱性を共有。Chromiumのバグトラッキングシステムに報告したという。この脆弱性にはCVE-2022-2587が割り当てられ、Common Vulnerability Scoring System(CVSS)スコアが 9.8(深刻度: 緊急(Critical)に分類)であるこの脆弱性の修正プログラムはすでにリリースされており、エンドユーザーに配布が行われている。

Microsoftは今回の検証結果が、ChromeOSを搭載したデバイスのセキュリティを分析および監視することの重要性を強調するものと報告している。さらに、最も堅牢なオペレーティングシステムでさえもセキュリティバグを含む可能性があるとし、すべてのクロスプラットフォーム機器とオペレーティングシステムに対して強力な監視の必要性があると述べている。