ジョージア工科大学の研究者がChromeとFirefoxブラウザにおける11の深刻なセキュリティ欠陥を発見

ジョージア工科大学の研究者がChromeとFirefoxブラウザのセキュリティホールを発見

ジョージア工科大学コンピューティングカレッジの研究者たちは、最も広く使用されている2つのインターネットブラウザ、Google ChromeとMozilla Firefoxにおいて、11の未発見の欠陥を発見しました。

研究者たちは、新しいサイバーセキュリティ分析手法を通じて、システムの奥深くに埋もれたこれらの穴を見つけました。

彼らの努力に対して、8月14日に終了した第24回USENIXセキュリティシンポジウムで、FacebookとUSENIXの提携によって授与されるインターネット防衛賞を受賞しました。

ジョージア工科大学の博士課程の学生であるイ・ビョンヨンとソン・チェンユ、教授のキム・テスとリー・ウェンケが、Facebookから100,000ドルを受け取り、研究を続け、インターネットをより安全にするための影響を高めることを目指しています。

彼らの研究「型キャスティング検証：新たな攻撃ベクトルの阻止」は、「不適切なキャスティング」または「型混乱」に起因するC++プログラム（ChromeやFirefoxなど）の脆弱性を探求しています。不適切なキャスティングは、攻撃者がブラウザのメモリを破損させ、適切な指示ではなく悪意のあるロジックに従わせることを可能にします。研究者たちは、これらを捕捉するための新しい独自の検出ツール「CAVER」を開発しました。CAVERは、ブラウザのパフォーマンスに対して7.6％から64.6％のオーバーヘッドを持つランタイム検出ツールです（それぞれChromeとFirefox）。

ジョージア工科大学によって特定された11の脆弱性は、MozillaとGoogleの両方によって確認され、両ブラウザは現在パッチが適用されています。

「インターネットコミュニティがより困難で深いセキュリティ問題に取り組み始める時が来た」と、コンピュータサイエンス学部の教授でチームのアドバイザーであるリー・ウェンケは述べています。「セキュリティ研究コミュニティは、数十年にわたりメモリ安全性バグを検出し修正するさまざまな方法に取り組んできましたが、‘スタックオーバーフロー’や‘ヒープオーバーフロー’バグに関しては進展を遂げてきましたが、これらは現在比較的簡単な問題になっています。我々の研究は、はるかに難しく深いバグ、特に‘使用後解放’や‘不適切なキャスティング’を調査し、我々のツールはFirefoxやlibstdc++などの広く使用されているソフトウェアにおける深刻なセキュリティバグを発見しました。この認識に感謝します。」

研究者たちは、これらを捕捉するための新しい独自の検出ツール「CAVER」を開発しました。CAVERは、ChromeとFirefoxのパフォーマンスに対して7.6％から64.6％のオーバーヘッドを持つランタイム検出ツールです。

「防御的なセキュリティ技術の設計はこれまで以上に重要であり、だからこそ我々は再びインターネット防衛賞を提供してこの分野での高品質な研究を刺激しています」と、Facebookのセキュリティエンジニアリングマネージャーであるイオアニス・パパギアニスは述べています。「ジョージア工科大学チームのC++プログラムにおける不適切な型キャストを検出するための新しい技術は、我々が奨励したい際立ったアプローチの一例です。インターネットのセキュリティを改善し、より広範な影響を生み出すために、チームが次に何をするのか楽しみにしています。」 「ジョージア工科大学の受賞作品は、USENIXセキュリティシンポジウムの特徴となっている画期的なセキュリティ研究の典型です」と、USENIX協会のエグゼクティブディレクターであるケイシー・ヘンダーソンは述べています。「彼らの先駆的な研究は、USENIXセキュリティ賞委員会とFacebookによって審査された多くの優れた応募の中で際立っていました。来年、インターネット防衛賞によって可能になる彼らのさらなる進展を楽しみにしています。