現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-114

Mozilla Foundation セキュリティアドバイザリ 2015-114

タイトル: High Resolution Time API を通じた情報漏えい
重要度:
公開日: 2015/09/22
報告者: Yossef Oren 他、Amit Klein
影響を受ける製品: Firefox、Firefox ESR、SeaMonkey、Firefox OS

修正済みのバージョン: Firefox 41
  Firefox ESR 38.3
  SeaMonkey 2.38
  Firefox OS 2.5

概要

High Resolution Time API をサイドチャネル攻撃に用いる方法が、コロンビア大学の Network Security Lab に所属するセキュリティ研究者、Yossef Oren、Vasileios P. Kemerlis、Simha Sethumadhavan、Angelos D. Keromytis の 4 氏によって報告されました。この攻撃は、悪意を持った Web ページを通じて読み込まれた JavaScript を用いて、ユーザが他のブラウザ活動に関わっている間に最終レベルキャッシュへのアクセスを長期にわたって追跡するものです。この攻撃は performance.now() API がタイミングにひとつのナノ秒解像度を使用していることにつけ込んだものです。

Windows システム上で performance.now() API を使えば、サイドチャネル攻撃の手法として Windows カウンタを頻繁に抽出可能であるということが、セキュリティ研究者の Amit Klein からも別途報告されました。

いずれの問題も、機密情報の開示、ユーザ追跡、データ漏えいにつながる恐れがありました。これらは、performance.now() API の解像度を 5 マイクロ秒まで減らし、攻撃者が取得可能な解像度の精度を排除することで解決されました。

Windows カウンタの周波数問題は Linux および OS X システムには影響しません。

参考資料