Google pushes emergency Chrome update to fix two zero-days
2021/09/30 BleepingComputer — Google は、すでに攻撃者に悪用されている、Chrome の2つのゼロデイ脆弱性を修正するために、Windows/Mac/Linux 用の 94.0.4606.71 をリリースした。Google は、「脆弱性 CVE-2021-37975 と CVE-2021-37976 のエクスプロイトが、ワイルドに悪用されていることを認識している」と、本日にリリースされたセキュリティ FIX リストで述べている。
Google は、Chrome 94.0.4606.71 をグローバルな Stable Desktop Channel で配信を開始しており、数日以内に全てのユーザーに提供される予定とされる。このアップデートを、直ちにインストールするためには、Google Chrome のメニューからマニュアルで操作すれば、ブラウザのアップデートが開始される。当社のテストでは、上記の手順で新バージョンの Chrome ブラウザが、直ちにインストールされた。
また、Google Chrome では、利用可能なアップデートがチェックされているため、ブラウザを再起動するときにもインストールが実行される。
ゼロデイ攻撃の詳細は公開されず
今回の Chrome 2リリースには、4つの脆弱性に対する修正が含まれるが、そのうちの2つのゼロデイは、ワイルドに悪用されているため、注意が必要だ。1つ目のゼロデイは、脆弱性 CVE-2021-37976 であり、コアにおける情報漏えいと説明され、深刻度は Medium とされている。この脆弱性は、Google TAG の Clément Lecigne が、Google Project Zero の Sergei Glazunov と Mark Brand の技術協力を得て、2021年9月21日に発見している。
2つ目のゼロデイは、脆弱性 CVE-2021-37975 であり、Chrome V8 JavaScript エンジンにおける Use After Free のバグである。研究者たちにより、9月24日に公開されているが、彼らは匿名を希望している。Use After Free は、一般的には、リモートコード実行や、セキュリティ・サンドボックス脱出に使用される。
現時点では、これらのゼロデイ脆弱性が、どのような攻撃に利用されたのかを説明する情報ははないが、Google TAG または Project Zero にから今後に報告される可能性はる。Google Chrome ユーザーは、マニュアルでのアップデートか、ブラウザの再起動による最新バージョンのインストールにより、その悪用を防ぐ必要がある。
今年13件目のゼロデイ修正
今回の2つの修正により、2021年に入ってからの Google Chrome は、13件のゼロデイ脆弱性を修正したことになる。
今年の Google Chrome ゼロデイバグは以下の通りである。
• CVE-2021-21148 – February 4th, 2021
• CVE-2021-21166 – March 2nd, 2021
• CVE-2021-21193 – March 12th, 2021
• CVE-2021-21220 – April 13th, 2021
• CVE-2021-21224 – April 20th, 2021
• CVE-2021-30551 – June 9th, 2021
• CVE-2021-30554 – June 17th, 2021
• CVE-2021-30563 – July 15th, 2021
• CVE-2021-30632 and CVE-2021-30633 – September 13th
• CVE-2021-37973 – September 24th, 2021
Google は、ゼロデイが報告されると、修正のための Chrome アップデートを迅速に行なっている。新しいバージョンが利用可能になったら、直ちにインストールすることが重要である。
先日の「Google Chrome にゼロデイ脆弱性:緊急アップデートが提供されている」から、それほど時間を空けずに、またゼロデイですね。前回が 94.0.4606.61 への、今回が 94.0.4606.71 へのアップデートとなります。すでに、マニュアルでの更新が可能ですので、早めの対応をおすすめします。
IoT OT Security News 