Emergency Google Chrome update fixes zero-day exploited in the wild
2021/09/24 BleepingComputer — Google は、Chrome 94.0.4606.61 を Windows/Mac/Linux 用にリリースした。今回は。ワイルドに悪用されている、深刻度の高いゼロデイ脆弱性に対処するための緊急アップデートである。Google は、今日のセキュリティ・アドバイザリで、脆弱性 CVE-2021-37973 がワイルドに悪用されていることを認識していると、明らかにしている。
今回の Chrome アップデートは、グローバルの Stable Desktop Channel で展開され、数日から数週の間に全ユーザーに提供される予定である。今回のアップデートはについて BleepingComputer が確認したところ、マニュアル操作であれば、すぐに利用可能となった。なお、OS を再起動するときには、Web ブラウザが更新情報をチェックし、自動的にアップデートが行われるという。
進行中の攻撃に関する詳細は公表されていない
このリリースで修正されたゼロデイ脆弱性は、Google Chrome 94 Stable 版の最初のリリースが公開された 9月21日に、Google TAG の Clément Lecigne が、Google Project Zero の Sergei Glazunov とMark Brand の協力を得て報告したものである。このバグは、CVE-2021-37973として追跡されており、Google Chrome 用の新しい Web ページナビゲーション・システムである Portals に、use after free の脆弱性が存在するというものだ。
この脆弱性が悪用されると、パッチが適用されていない Chrome バージョンを実行しているコンピュータ上で、攻撃者に任意のコード実行を許す可能性が生じる。Google は、CVE-2021-37973 を悪用した攻撃を検出したと発表しましたが、それらのインシデントに関する詳細は明らかにしていない。
Google は、「大多数のユーザーが、修正プログラムに更新するまで、バグの詳細やリンクへのアクセスが制限されることがる。また、まだ修正されていないサードパーティ・ライブラリにバグが存在し、他のプロジェクトが依存している場合も、制限がかけられる」と述べている。Chrome ユーザーは、詳細な情報が得られるまで、セキュリティ・アップデートをインストールすることで、悪用の防ぐための十分な時間を確保できるはずだ。
今年に修正された11個目のゼロデイ
今回のバグにより、2021年に入ってから修正された、Google Chrome のゼロデイ脆弱性は 11件目となる。Google が、今年になって修正した Chrome ゼロデイ・バグは以下の通りである。
• CVE-2021-21148 – February 4th, 2021
• CVE-2021-21166 – March 2nd, 2021
• CVE-2021-21193 – March 12th, 2021
• CVE-2021-21220 – April 13th, 2021
• CVE-2021-21224 – April 20th, 2021
• CVE-2021-30551 – June 9th, 2021
• CVE-2021-30554 – June 17th, 2021
• CVE-2021-30563 – July 15th, 2021
• CVE-2021-30632 and CVE-2021-30633 – September 13th
これらのバグは、いずれもワイルドに悪用されていることが認識されており、Google Chrome のアップデートが提供されたら直ぐに、すべてのアップデートをインストールすることを強く推奨する。
この脆弱性 CVE-2021-37973 は、9月24日付けの Stable Channel Update for Desktop でレポートされています。文中にもあるように、今回の脆弱性で、今年は 11回目のゼロデイとなるようです。Chrome のバージョン確認と、アップデートを、お忘れなく。
IoT OT Security News 