ブラウザーのセキュリティ機能を回避する「GLitch」攻撃、Nexus 5など一部機器に影響

　スマートフォンなどの機器において、ウェブブラウザーのセキュリティ機能を回避する脆弱性「CVE-2018-10229」が、オランダ・アムステルダム自由大学の研究グループにより発見された。

　米CERT/CCによれば、この攻撃の影響を受けるのはAndroid版の「Google Chrome」や「Mozilla Firefox」だが、すでに対策を施したアップデートは公開済みだ。一方、Microsoft製のウェブブラウザーは影響を受けないことが確認されている。

　検証では2013年リリースの「Nexus5」で、2015年10月のセキュリティアップデートを適用した環境で影響が見られた。なお、2013年に発売されたほかの端末では攻撃は成功しなかったという。

　この攻撃手法は「GLitch」と名付けられており、CPUとGPUがメモリを共有するプラットフォームを採用した機器に対してWebGLの機能を悪用したサイドチャネル攻撃で物理メモリのレイアウトを特定し、Rowhammer攻撃でメモリのビットを反転させることで、Firefoxのサンドボックス機能を回避するもの。

脆弱性の影響を受けるのは「Google Chrome」や「Mozilla Firefox」