Google Chrome の緊急アップデート:2つのゼロデイ脆弱性が悪用されている

Emergency Google Chrome update fixes zero-days used in attacks

2021/10/28 BleepingComputer — Google は、Windows/Mac/Linux 用の Chrome 95.0.4638.69 をリリースし、攻撃者に積極的に悪用されている2つのゼロデイ脆弱性を修正した。Google は、「CVE-2021-38000 および CVE-2021-38003 の悪用が、ワイルドに行われていることを認識している」と、本日にリリースされた Google Chrome のセキュリティ修正のリストで述べている。

Google は、新バージョンが全ユーザーに行き渡るまでには時間がかかる可能性があるとしているが、すでに Chrome 95.0.4638.69 は、Stable Desktop チャネルでの配信が開始されている。

Chrome のアップデートを直ぐにインストールするには、Chrome Menu > Help > About Google Chrome を選択すると、ブラウザのアップデートを実行できる。また、Google Chrome の再起動でも、このアップデートがインストールされる。

ゼロデイ攻撃の詳細は公開されていない

今回の Chrome のリリースでは、合計で7つの脆弱性が修正されており、そのうち2つは、ワイルドな悪用が確認されているゼロデイ脆弱性である。

1つ目のゼロデイは、CVE-2021-38000 として追跡されるもので、Insufficient validation of untrusted input in Intents と説明され、深刻度は High に設定されている。この脆弱性は、2021年9月15日に Google Threat Analysis Group の Clement Lecigne/Neel Mehta/Maddie Stone により発見された。2つ目のゼロデイは、CVE-2021-38003 として追跡されるもので、Chrome V8 JavaScript エンジンにおける不適切な実装と説明され、深刻度は High に設定されている。この脆弱性は、同じく Lecigne により発見され、10月24日に報告された。

現時点で Google は、脅威となる人物が、どのようにこの脆弱性を悪用し、どのような攻撃を行ったかについては、詳細を明らかにしていない。しかし、Google が発見した脆弱性であることから、Google TAG や Project Zero の報告で詳細が明らかになる可能性がある。

これら2つの脆弱性は、すでに攻撃に利用されている。したがって、すべての Chrome ユーザーに対しては、手動によるアップデート、もしくは、再起動による最新バージョンをインストールが推奨される。

今年になって修正された 15件目のゼロデイ

今回の修正により、Google は 2021年に入ってから、15件の Chrome ゼロデイ脆弱性を修正したことになる。すでにパッチが適用されている、その他の 13件のゼロデイは以下の通りである。

Google Chrome 95.0.4638.69 は、すでにリリースされていますので、マダの方は急いでアップデートしてください。Chrome に関する最近のポストで興味深いものとしては、「悪意の Chrome 広告ブロック:自身のサイトへリダイレクトさせて利益を上げる手口」や、「Google Chrome のフィッシング検出が 50倍も高速化された」などがあります。よろしければ、合わせて ど〜ぞ。