1 ポイント 投稿者 GN⁺ 2025-08-12 | 1件のコメント | WhatsAppで共有
  • ChromeのVRP報酬委員会が、最近のセキュリティ脆弱性報告について25万ドルの報奨金を決定した
  • 報告された脆弱性はipczコンポーネントのバグで、レンダラーがブラウザープロセスのハンドルを複製し、サンドボックス脱出の可能性を提供する
  • 関連する問題はChromiumのInternals>Mojo>Core領域で提起された
  • この脆弱性により、ユーザーのセキュリティ脅威が増大する可能性がある
  • 該当脆弱性はコード変更によるパッチ作業が進行中

主な問題の概要

  • 最近、Chromiumプロジェクトで非常に深刻なセキュリティ脆弱性が報告されている
  • この脆弱性はipczコンポーネントの欠陥で、サンドボックス内にあるべきレンダラーがブラウザープロセスのハンドルを複製することで、セキュリティ分離環境から脱出できる可能性がある
  • これらの行為は、基本的にブラウザのサンドボックス構造に対する脅威である

Chrome VRP報酬決定とその意味

  • Chrome Vulnerability Reward Program(報酬プログラム)委員会は、この脆弱性報告に対して25万ドルの報酬を決定した
  • これは、当該脆弱性の重大性、発見難易度、影響範囲などを反映した決定
  • 重要なセキュリティ欠陥に対する積極的な脆弱性レポート報奨の姿勢を示す事例である

内部問題処理

  • 本件はInternals>Mojo>CoreおよびInternals>Mojoカテゴリで処理中
  • 複数の関連コード変更が必要で、一部のGerritでのコードコミットも含まれる
  • 設計ドキュメントのレビューなど、形式的な確認手順も進行中である

パッチと影響

  • 関連問題はコード修正を通じてパッチ作業が進行中
  • この問題はChromiumの複数のリリースマイルストーンに影響を与えており、セキュリティ更新の優先度は高い
  • このバグにより、ユーザーシステムのセキュリティ防御が無効化されるリスクがある

関連事項とシステム対応

  • 本件に伴い、IRM(インシデント・レスポンス・マネジメント)の記録も作成された
  • このバグの詳細は、自動生成されたコード変更関連するセキュリティ問題設計レビューリリース管理など、複数の内部管理システムで追跡・アクセス制御されている
  • コミュニティおよびユーザー向けに、迅速かつ効果的なセキュリティパッチ配布と通知が求められる

1件のコメント

 
GN⁺ 2025-08-12
Hacker Newsの意見
  • 彼は、最も利用されているブラウザでかなり信頼性の高いエクスプロイトを持っており、もしダークマーケットで販売していれば税金を払わずにもっと稼げたのではないかという見方をしている。 EDR(Endpoint Detection and Response)などのセキュリティツールが広く配備されるようになったため、現在ではエクスプロイトがすぐに検知される可能性が高くなった一方、独裁国家の情報機関は、この種のジャーナリスティックハッキングに価値があると考えるだろうという意見。
    • 本当にダークマーケットで税金を払わずにより多く受け取れるのかという疑問と、実際に信頼できる犯罪者をどこでどう見つけるのか分からないという話。 取引は匿名性と信頼性を担保して行う必要があるが、報酬を受け取ることでブラックメールなど別のリスクが発生する可能性もあり、大金を隠すのも容易ではないため、どのように安全にエクスプロイトを販売できるのか疑問がある。 さらに、こうしてお金を得るとブログに記事を投稿できなくなり、研究者やリクルーターに自分の名前を知らせられないため、キャリアや評判の面でデメリットがあるという意見もある。
    • ダークマーケットで売ったからといって、税金を払わずに自動的により多く得られるというものではないという話。 いつか銀行口座に大金が入れば監視されるので、最終的には税金を払う場合と同じように資金洗浄(マネーロンダリング)をしなければならず、洗浄業者に手数料を払う必要もあるため、結果的に税金を二重で払うことになる。 暗号資産(クリプト)でも同様で、マイニングしたことの証拠を求められるため、簡単な解決策にはならないと説明している。
    • 多くの人が金額だけを比較しているが、もっと賢い選択をしようという意見。 潜在的な利益のために、数え切れない犯罪者が数百万人に害を与える機会を開くことになるのではないか、という問題を考えるべきだという話。
  • ダークマーケットで税を払わずにより高く売れるとは限らないという意見。 Chromeでサンドボックス脱出やそのバイパスが、公式に最大$200,000まで報酬として出るという発表を共有しており、72番目のスライドに言及している。 GitHubにこのプレゼンテーションはあるが、現在GitHubがダウンしているためredditリンクも追加で共有。
  • この種の脆弱性は、流通市場(リキッドマーケット)が存在する数少ないケースだという説明。 特にこのバグは複数回再販可能で、例えば国家単位の情報機関や法執行機関に売る専門会社も存在する。
  • Chromeでのサンドボックス脱出や高品質なレポートには$250,000の報酬。 Mozillaでは同じ脆弱性に対して$20,000を支払うという点を、公式ルールMozillaのバグバウンティのリンクで比較している。
    • Wikipediaベースだと、この金額は(Mozillaの純利益に対して)0.012%だ。 この比較方法が適切ではないという意見もあったが、パーセントにして見るとGoogleの50倍レベルなので十分だという意見。 (当初は比率計算を間違えていたが、修正して0.012%と明らかになった。$20,000は$157,000,000の0.012%で、Googleの割合より50倍多い。)
    • ChromeユーザーはFirefoxより15〜20倍多いため、ダークマーケットでもその分バグの価格が高く形成される。 Safariは裕福でセキュリティに関心のないユーザーが多いため、さらに高くなる場合があるという説明。
    • 両社の財務状態を見ると、Googleの方がMozillaよりかなり多くの利益を得ているという意見。
    • HNでモジラCEOになったつもりで、みんなが言いたいことを言うパロディをしてみたくなる話。 それぞれが、オフィスに真剣に入って、自分の好きな政策(プライバシー保護、Web標準強化、速度改善、バグバウンティ報酬の引き上げなど)を熱く主張する姿とは対照的に、背景では赤い線(売上減少)がスローモーションでじわじわ下がっていく漫画の映像を想像している。
    • グレーマーケットでもFirefox脆弱性は、需要と供給の両面で理由があり、報酬がはるかに低下するという意見。
  • 「今週だけ公開しようとして5日前にこの問題を立てた」という案内文を見て、Defconと関連づけた挨拶風のコメント。
  • 参考までに、このバグはロジック/タイミングの問題で、Rustで書いたから防げるという種類ではないと述べられている。
  • サンドボックス脱出バグが正確に何か、ブラウザで「レンダラー」と「ネイティブAPI」、それに「サンドボックス」をよく知らない人向けにわかりやすく説明する資料があるのかという疑問。
    • まず、JavaScriptエンジンのバグなどでレンダラープロセスを支配するのが第1段階で、この状態でもレンダラーはサンドボックスに閉じ込められている。 この投稿のバグは第2段階(サンドボックス脱出)向け。 公開されたpatch.diffは、すでにハッキングされたレンダラープロセスをシミュレーションするためのパッチだと説明している。
  • リワード関連のコメントリンクはこちら
  • 人生が変わるほどの大金だという感嘆と、こうしたリワードを見られるのがうれしいという意見。
    • 私が住んでいるデンマークでは、この金額は税金がなくても1部屋アパートすら買えないレベル。
    • 最初に$240,000のボーナスを受け取ったとき、人生が変わると期待したが、税金で$100,000が差し引かれた。 車の代金に$20,000を払ったため、かなり使えるものはなかった。 LA/SF/NYCの基準でも家は全然買えず、スタートアップを始める資金にも足りなかった。 学生のように暮らせば2〜3年は何とかなるかもしれなかったが、すでに34歳だったので学生生活に戻るのは難しかった。 結局、大きな変化を起こせなかった。もちろんこんな大金を受け取れたことには感謝しているが、私の思っていたほど人生は変わらなかったという経験を共有している。 25年前のことで、今では3都市のどこでも$100万(税引後$60万)で人生が変わるほどの額ではない。 せめて頭金や子どもの大学費用くらいは可能ではあるが、期待した自由さは得られなかった。
    • どこに住んでいるかでお金の意味は変わるという意見。 先進国内では$250,000を人生を変える金額と言うのは難しく、「ちょっと心配を軽くできるお金」という程度だという意見。 税金を払えば家を買う水準でもない。
  • このような巨大なプロジェクトからバグを見つけるのは本当にすごいと感じ、干し草の山から針を探すようだという感嘆。
    • 大規模で複雑なプロジェクトほどコード量が多くバグも多いため、小規模プロジェクトよりもむしろ問題を見つけやすいという意見。 ただし、Sandbox Escapeのような重大なバグは、Googleの高度な報酬制度のため、すでに多くの人が手動・自動解析(ファジングツール含む)を試しているため、見つけるのはかなり難しいのが正しい。 2014年に偶然Chromeでバグを見つけた(バグを見つけようとしていたのではなく、単にJSコードを書いていて問題を見つけた)ときにGoogleが$1,500を支払ったという体験談も共有。 関連リンク
    • 逆に、大規模プロジェクトではコンポーネント間の奇妙な相互作用が多いため、見つけやすいと考える。 重要なセキュリティ境界(今回ならレンダラーとブローカー間の通信)に注目して、エッジケースを掘り下げるのがポイント。 Googleはこのタイプのバグに対して報酬を払うので、発見時には大きな報酬が得られる。 もちろん、まだ研究者の実力がかなり必要だということは事実だ。
  • 報酬の支払い速度も印象的。 約4週間でリワードが出たが、多くの企業ではバグレポートの採用だけでも数か月かかるケースが多い。
  • DOJがChrome分割を強制して新しい所有権が生まれることを想定した場合、この程度のバグバウンティが継続されるかどうかは疑わしいという意見。