カナダでこのほど開かれたセキュリティカンファレンス「CanSecWest 2010」で、今年もブラウザのハッキングコンテストが開かれた。セキュリティ企業の米Symantecがブログでその結果を報告、攻撃阻止を目的としたセキュリティ技術の効果について考察している。
ハッキングコンテストではMicrosoft Internet Explorer(IE)、Mozilla Firefox、Google Chrome、Apple Safariの各ブラウザ最新版が標的となった。参加者は64ビット版Windows 7のIE 8で2件の脆弱性を突いて任意のコードを実行することに成功。さらに、OS XのSafari、Windows 7のFirefoxも破られ、Microsoftの最新のセキュリティの仕組みもかわされたという。
Microsoftはこうしたブラウザの脆弱性が悪用されるのを防ぐため、Address Space Layout Randomization(ASLR)やデータ実行防止(DEP)といった防御技術を実装している。しかし攻撃側がこれら技術の効果をそぐために膨大な量のツールを駆使していることが、今回のコンテストで示された形だという。
ASLRとDEPは大きな進歩であり、場合によってはメモリ破損の脆弱性が悪用されるのを防ぐ一助となるが、それも万能ではないとSymantecは指摘。ASLRとDEPによる防御の効果は、標的とされたアプリケーションの攻撃対象領域、およびエクスプロイト開発者の執念と能力によって大きく左右されると解説している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR