Emergency Google Chrome update fixes zero-days used in attacks
2021/10/28 BleepingComputer — Google は、Windows/Mac/Linux 用の Chrome 95.0.4638.69 をリリースし、攻撃者に積極的に悪用されている2つのゼロデイ脆弱性を修正した。Google は、「CVE-2021-38000 および CVE-2021-38003 の悪用が、ワイルドに行われていることを認識している」と、本日にリリースされた Google Chrome のセキュリティ修正のリストで述べている。
Google は、新バージョンが全ユーザーに行き渡るまでには時間がかかる可能性があるとしているが、すでに Chrome 95.0.4638.69 は、Stable Desktop チャネルでの配信が開始されている。
Chrome のアップデートを直ぐにインストールするには、Chrome Menu > Help > About Google Chrome を選択すると、ブラウザのアップデートを実行できる。また、Google Chrome の再起動でも、このアップデートがインストールされる。
ゼロデイ攻撃の詳細は公開されていない
今回の Chrome のリリースでは、合計で7つの脆弱性が修正されており、そのうち2つは、ワイルドな悪用が確認されているゼロデイ脆弱性である。
1つ目のゼロデイは、CVE-2021-38000 として追跡されるもので、Insufficient validation of untrusted input in Intents と説明され、深刻度は High に設定されている。この脆弱性は、2021年9月15日に Google Threat Analysis Group の Clement Lecigne/Neel Mehta/Maddie Stone により発見された。2つ目のゼロデイは、CVE-2021-38003 として追跡されるもので、Chrome V8 JavaScript エンジンにおける不適切な実装と説明され、深刻度は High に設定されている。この脆弱性は、同じく Lecigne により発見され、10月24日に報告された。
現時点で Google は、脅威となる人物が、どのようにこの脆弱性を悪用し、どのような攻撃を行ったかについては、詳細を明らかにしていない。しかし、Google が発見した脆弱性であることから、Google TAG や Project Zero の報告で詳細が明らかになる可能性がある。
これら2つの脆弱性は、すでに攻撃に利用されている。したがって、すべての Chrome ユーザーに対しては、手動によるアップデート、もしくは、再起動による最新バージョンをインストールが推奨される。
今年になって修正された 15件目のゼロデイ
今回の修正により、Google は 2021年に入ってから、15件の Chrome ゼロデイ脆弱性を修正したことになる。すでにパッチが適用されている、その他の 13件のゼロデイは以下の通りである。
- CVE-2021-21148 – February 4th, 2021
- CVE-2021-21166 – March 2nd, 2021
- CVE-2021-21193 – March 12th, 2021
- CVE-2021-21220 – April 13th, 2021
- CVE-2021-21224 – April 20th, 2021
- CVE-2021-30551 – June 9th, 2021
- CVE-2021-30554 – June 17th, 2021
- CVE-2021-30563 – July 15th, 2021
- CVE-2021-30632 and CVE-2021-30633 – September 13th
- CVE-2021-37973 – September 24th, 2021
- CVE-2021-37976 and CVE-2021-37975 – September 30th, 2021
Google は、ゼロデイが報告された場合、それを修正するための Chrome アップデートを推奨している。したがってユーザーには、アップデートをブロックせず、新しいバージョンが利用可能になった時点でインストールすることが強く推奨されている。
Google Chrome 95.0.4638.69 は、すでにリリースされていますので、マダの方は急いでアップデートしてください。Chrome に関する最近のポストで興味深いものとしては、「悪意の Chrome 広告ブロック:自身のサイトへリダイレクトさせて利益を上げる手口」や、「Google Chrome のフィッシング検出が 50倍も高速化された」などがあります。よろしければ、合わせて ど〜ぞ。