Google patches 8th Chrome zero-day exploited in the wild this year
2021/07/16 BleepingComputer — Google は、Chrome 91.0.4472.164 を Windows / Mac / Linux 向けにリリースし、7つの 脆弱性を修正した。そのうちの1つは、すでに悪用されている、深刻度の高いゼロデイ脆弱性である。Google は、「脆弱性 CVE-2021-30563 の、エクスプロイトが存在するという報告を認識している」 と明らかにしている。
今回リリースされた Chrome の新バージョンは、Stable Desktop チャネルへの展開がグローバル開始され、数日後には全てのユーザーに提供される予定だ。Google Chromeは、次回の起動時に自動的にアップデートされるが、新しくリリースされたバージョンを確認して、手動でアップデートすることもできる。木曜日に Google Project Zero の Sergei Glazunov がパッチを当てたゼロデイは、Google のオープンソース C++ベースの、WebAssembly および JavaScript エンジンである V8 における、タイプ・コンフュージョンのバグと説明されている。
一般的に、このバグは、バッファの境界を越えたメモリの読み書きを生じ、悪用された場合にはブラウザのクラッシュにつながるが、脅威アクターにより任意のコードを実行されることもある。Google は、CVE-2021-30563 が悪用されていることを認識していると述べているが、これらの攻撃に関する情報は公開していない。これは、多くの脅威アクターたちが積極的に悪用を開始する前に、できるだけ多くのシステムにセキュリティ・アップデートを展開するためだとされる。Google は、「大多数のユーザーが修正プログラムに更新されるまで、バグの詳細へのアクセスは制限される可能性がある。また、他のプロジェクトが依存する、未修正のサードパーティ・ライブラリにバグが存在する場合にも、制限をかけることになる」と述べている。
2021年に入ってから、Google は攻撃者に悪用された、8件の Chrome のゼロデイ・バグにパッチを適用している。今回の CVE-2021-30563 以外にも、以下の脆弱性に対処してきた。
・ CVE-2021-21148 – 2021年2月4日
・ CVE-2021-21166 – 2021年3月2日
・ CVE-2021-21193 – 2021年3月12日
・ CVE-2021-21220 – 2021年4月13日
・ CVE-2021-21224 – 2021年4月20日
・ CVE-2021-30551 – 2021年6月9日
・ CVE-2021-30554 – 2021年6月17日
今週初めに、Google Threat Analysis Group (TAG) は Chrome の ゼロデイである、 CVE-2021-21166 と CVE-2021-30551 の不正利用に関する追加情報を発表しました。Google は、「我々の分析によると、ここに記載されている Chrome と Internet Explorer のエクスプロイトは、世界の顧客に監視機能を提供しているベンダーにより、開発/販売されたものだと査定する」と述べています。Microsoft と Citizen Lab は、Google TAG の報告書に記載されているベンダーを、イスラエルのスパイウェア・ベンダー Candiru と関連付けました。
脅威アクターたちは、この監視ベンダーのスパイウェアを展開し、Chrome のゼロデイや Windows の未パッチ欠陥を利用して、iOS / Android / macOS / Windows を感染させたそうです。Microsoft の研究者によると、Candiru のマルウェアは、政治家/人権活動家/ジャーナリスト/学者/大使館員/政治的反体制派のシステムを、危険にさらすために悪用されていました。Microsoft によると、パレスチナ/イスラエル/イラン/レバノン/イエメン/スペイン/イギリス/トルコ/アルメニア/シンガポールで、少なくとも 100人の被害者 を発見したとのことです。
Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う
REvil ランサムウェアが姿をくらましたが理由は不明
Trickbot が新しい VNC Module で復活してスパイ活動を再開?
フィッシングやランサムウェアがデータ侵害を増幅していく
ForgeRock Access Manager の RCE 脆弱性が悪用されている
IoT OT Security News 