ビデオコーデック「VP8」に関連するゼロデイ脆弱性が発見されChromeやFirefoxがセキュリティアップデートを実施、すでに悪用された事例も

GoogleのChrome開発チームが2023年9月27日に、セキュリティの脆弱(ぜいじゃく)性に対処するためにデスクトップ版Chromeのアップデートを実施しました。今回のアップデートで修正された脆弱性には、ビデオコーデック「VP8」に関連するゼロデイ脆弱性が含まれており、すでにこの脆弱性が悪用された事例も確認されているとのことです。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

Google fixes fifth actively exploited Chrome zero-day of 2023
https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/

A new Chrome 0-day is sending the Internet into a new chapter of Groundhog Day | Ars Technica
https://arstechnica.com/security/2023/09/new-0-day-in-chrome-and-firefox-is-likely-to-plague-other-software/

GoogleがリリースしたChromeのセキュリティアップデートには合計10個のセキュリティ修正プログラムが含まれており、特に重要度の高いものに「CVE-2023-5217」というゼロデイ脆弱性があります。CVE-2023-5217は、オープンソースのビデオコーデックライブラリ「libvpx」を組み込んだVP8のエンコーディングで、バッファオーバーフローが発生してしまうというものです。

CVE-2023-5217を発見したのは、Googleが運営する脅威分析チーム「Threat Analysis Group(TAG)」に所属するセキュリティ研究者のクレメント・レシーン氏です。すでにCVE-2023-5217は商用監視ソフトウェアのベンダーによって悪用されているそうで、Googleも実際にCVE-2023-5217を利用したエクスプロイトが存在していると認めています。

セキュリティ研究者のホセイン・ロトフィ氏によると、この脆弱性はVP8がエンコーダーの作成後にスレッド数変更を許可することで生じるとのこと。

また、VP8のゼロデイ脆弱性の影響はChromeだけにとどまらず、Mozillaが開発するFirefoxのデスクトップ版やAndroid版でも脆弱性のセキュリティアップデートが行われました。

Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, and Firefox Focus for Android 118.1.0. — Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/

今回の脆弱性はVP8に組み込まれたlibvpxが原因とみられていますが、サイバーソリューション企業のAnalygenceで上級主任アナリストを務めるウィル・ドーマン氏は、「パッケージがlibvpxが依存しているという事実は、必ずしもそれが脆弱だという意味ではありません。この脆弱性はVP8のエンコーディングに関するものであり、デコーディングにのみlibvpxを使用している場合は、心配する必要はありません」と述べています。とはいえ、ChromeやFirefox以外にも、今回のゼロデイ脆弱性の影響を受けるパッケージがあるかもしれないとのこと。

テクノロジー系メディアのArs Technicaは、「CVE-2023-5217の全容が明らかになるには、おそらくあと数日かかるでしょう。libvpxのプロジェクト開発者は、『パッチが適用されたバージョンのライブラリが利用可能かどうか』『ライブラリを使用するソフトウェアの悪用には具体的に何が必要なのか』といった質問に対し、すぐにはメールで返信しませんでした」と述べました。