Google patches 10th Chrome zero-day exploited in the wild this year
2021/09/13 BleepingComputer — Google は、Chrome 93.0.4577.82 を Windows/Mac/Linux 向けにリリースし、11件のセキュリティ脆弱性を修正したが、そのうち2件はワイルドに悪用されているゼロデイである。Google は、「CVE-2021-30632 と CVE-2021-30633 のエクスプロイトが、ワイルドに存在することを認識している」と、Chrome の新バージョンのリリースノートで明らかにしている。
このアップデートは、Stable Desktop Channel でグローバルに提供され、すべてのユーザーが数日のうちに利用できるようになると、Google は述べている。BleepingComputer がアップデート・チェックをマニュアルで行ったところ、すぐにアップデート版が利用できるようになった (Chrome Menu > about Google Chrome)。なお、Google Chromeは、ブラウザを再起動するときにも、新しいアップデートを自動的にチェックする。
2021年に修正された10個目のゼロデイ
今回、修正される2つのゼロデイ脆弱性は、2021年9月8日に Google に開示されたもので、いずれもメモリ・バグである。CVE-2021-30632 は V8 JavaScript エンジンにおける境界外書き込みで、CVE-2021-30633 は Indexed DB API における use-after-free のバグだ。これらのバグは、ブラウザのクラッシュにつながることが多いが、脅威アクターに悪用されると、リモートコードの実行、サンドボックスのエスケープなどの、悪意の行動を起こされる恐れがある。
Google は、この2つのバグについて、ワイルドに悪用されていると公表しているが、攻撃に関する詳細な情報は公表していない。この2つの脆弱性により、2021年の Google は、Chrome に存在する計10件のゼロデイ脆弱性にパッチを適用したことになる。
・CVE-2021-21148 – February 4th, 2021
・CVE-2021-21166 – March 2nd, 2021
・CVE-2021-21193 – March 12th, 2021
・CVE-2021-21220 – April 13th, 2021
・CVE-2021-21224 – April 20th, 2021
・CVE-2021-30551 – June 9th, 2021
・CVE-2021-30554 – June 17th, 2021
・CVE-2021-30563 – July 15th, 2021
これらの脆弱性は、現実に悪用されているため、Google Chrome の最新バージョンへのアップデートを強く推奨する。
日本時間の9月14日8時ころに見つけた記事です。気になるのは、先日の「Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?」との関連性です。なんとなく、それっぽいとも思えますが、断定できる材料はありませんでした。まぁ、マニュアルなら、すでにアップデートが可能です。お早めに、ど〜ぞ。
IoT OT Security News 