Google addresses four high-severity flaws in Chrome
2021/10/09 SecurityAffairs — Google Chrome for Windows/Mac/Linux に存在する、深刻度の高い4つの脆弱性に対するセキュリティ・アップデートが公開された。最も深刻な脆弱性は、CVE-2021-37977として追跡されており、ガベージ・コレクションにおける解放後メモリ使用の問題であり、任意のコード実行につながる可能性がある。この脆弱性は匿名の研究者から報告されたもので、Google は同氏に対して $10,000 の報奨金を授与した。
また、Blink と WebRTC に存在する、2つのヒープバッファ・オーバーフローの脆弱性 (CVE-2021-37978 CVE-2021-37979) への対応も行われている。CVE-2021-37978 は 360 ATA の Yangkang (@dnpushme) により報告され、CVE-2021-37979 は Cisco Talos の Marcin Towalski により報告された。Google は、この2つの脆弱性に対して $10,000 報奨金を支払った。
Google が修正した4つ目の問題は、CVE-2021-37980 として追跡されている、Sandbox における不適切な実装であり、Yonghwi Jin (@jinmo123) が報告している。この研究者には、$ 3,000 の懸賞金が支払われた。
Chrome Stable Channel バージョンは、Windows/Mac/Linux 向けに 94.0.4606.81 へと更新されており、数日後からリリースされる予定だ。Google Stable Channel Update for Desktop を参照してほしい。
Google は、一連の脆弱性が、ワイルドな攻撃で悪用されているかどうかは明らかにしていない。
先ほど、Stable Channel Update for Desktop Thursday, October 7, 2021 からマニュアルで 94.0.4606.81 をダウンロード/アップデートしました。メインで使っているブラウザなので、新バージョンの情報をみつかたら、必ずアップデートするようにしています。その他、メールのやり取りや、Web からのドキュメント・ダウンロードは、限定した範囲にとどめ、インストールするアプリは必要最小限に抑えてと、なにかと不自由な使い方ですが、なにか起こったら、もっと不自由になるので、これが一番安全だと思っています 🙂
IoT OT Security News 