6月20日:サイバーセキュリティ関連ニュース
暗号資産取引所Kraken、ゼロデイ欠陥の悪用で300万ドル相当盗まれる
The Hacker News – Jun 19, 2024
暗号資産取引所Krakenは、あるセキュリティ研究者がKrakenのプラットフォームにおける「極めて重大な」ゼロデイ欠陥を悪用してデジタル資産を盗み出し、その返却を拒んだことを明らかにした。
この欠陥は最近ユーザーインターフェースが変更されたことに起因しており、顧客は資金の入金を完了する前に口座で資金を受け取ることができるようになっていたという。
この研究者は同僚2人にもこの欠陥を打ち明け、同僚が盗み出した分と合わせて最終的に300万ドル相当のデジタル資産を引き出したとされている。
Krakenは、この問題によって顧客の資産が危険にさらされることはなかったと強調しているものの、脅威アクターが顧客の口座の資産を印刷できるようになっていた可能性がある。なお、同脆弱性はすでに修正されているようだ。
同取引所はこの研究者らに対し、オンチェーンアクティビティを生成するために使われたPoCエクスプロイトを共有し、引き出した資金を返却する手配を行うよう依頼したが、相手は資産を返却するのと引き換えに一定の金額を支払うよう要求してきたという。
問題となっている会社の名称は明らかにされなかったが、Krakenはこの件を刑事事件として扱った上で法執行機関と調整を進めていると述べた。
Google、Chrome 126のアップデートで深刻度の高い欠陥を複数修正(CVE-2024-6100、CVE-2024-6101他)
Security Affairs – June 19, 2024
GoogleはChrome 126のアップデートをリリースし、計6件の脆弱性に対処した。今回のアップデートでは深刻度の高い脆弱性も修正されており、ハッキング大会「TyphoonPWN 2024」で悪用が実演された欠陥CVE-2024-6100(型の取り違えの脆弱性)や、CVE-2024-6101(不適切な実装の脆弱性)、CVE-2024-6102(境界外メモリアクセスの脆弱性)、CVE-2024-6103(解放済みメモリ使用の脆弱性)がこれに含まれる。
Googleはこれらの脆弱性に関する技術的な詳細を共有していないが、幸いなことに実際の攻撃で悪用された事例は認識されていないという。
Chrome 126のセキュリティ更新プログラムは、Linux向けにはv126.0.6478.114が、WindowsおよびmacOS向けにはv126.0.6478.114/115が順次展開される。