Google pushes emergency Chrome update to fix zero-day used in attacks
2021/12/13 BleepingComputer — Google は、Chrome 96.0.4664.110 の Windows/Mac/Linux 用をリリースし、ワイルドに悪用されている深刻度の高いゼロデイ脆弱性に対応した。今日のセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2021-4102 をワイルドに悪用する事例があるという報告を認識している」と述べている。
今回のアップデートが、すべてのユーザーに行き渡るまでに、時間がかかる可能性があるとしているが、すでに Chrome 96.0.4664.110 は、Stable Desktop チャンネルで全世界に展開されている。BleepingComputer が、Chrome の Menu>Help>About Google Chrome をチェックすると、すでにアップデートが提供されていた。また、このブラウザは、最新のアップデートを自動チェックするため、次回の起動後にも自動的にアップデートされる。
ゼロデイ攻略の詳細は明らかにされず
本日に修正されたゼロデイ・バグは、匿名のセキュリティ研究者により報告され、CVE-2021-4102として追跡されているものであり、Chrome V8 JavaScript エンジンの use after free の欠陥である。この use after free のバグを悪用する攻撃者は、パッチが適用されていない Chrome のバージョンを実行しているコンピュータ上で、任意のコード実行や、ブラウザのセキュリティ・サンドボックスからの脱出などを試みるのが一般である。
Google は、このゼロデイを悪用した攻撃を検知したと述べているが、これらのインシデントがに関する追加情報は発表していない。Google は、「大多数のユーザーが修正プログラムに更新されるまで、バグの詳細やリンクへのアクセスが制限されることがある。また、他のプロジェクトが同様に依存していて、まだ修正されていないサードパーティのライブラリにバグが存在する場合も、制限がかけられる」と付け加えている。
Google が、このバグの悪用に関する詳細を発表するまで、ユーザーは Chrome をアップグレードし、悪用を防ぐための、十分な時間があるはずだ。
今年 16番目に修正された Chrome のゼロデイ
今回のアップデートにより、Google は今年に入ってから、16件の Chrome ゼロデイ脆弱性に対処したことになる。2021年にパッチが適用された、他の 15件のゼロデイは以下の通りである。
CVE-2021-21148 – February 4th
CVE-2021-21166 – March 2nd
CVE-2021-21193 – March 12th
CVE-2021-21220 – April 13th
CVE-2021-21224 – April 20th
CVE-2021-30551 – June 9th
CVE-2021-30554 – June 17th
CVE-2021-30563 – July 15th
CVE-2021-30632 and CVE-2021-30633 – September 13th
CVE-2021-37973 – September 24th
CVE-2021-37976 and CVE-2021-37975 – September 30th
CVE-2021-38000 and CVE-2021-38003 – October 28th
このゼロデイは、ワイルドな攻撃者により使用されたことが判明している。したがって、本日の Google Chrome アップデートが利用可能になり次第、インストールすることを強く推奨する。
たしか、2〜3日前だったと思いますが、Chrome 96.0.4664.110 の通知がありました。いつものパターンで、アップデートを行い、最新バージョンが動いています。この一年の、Chrome のゼロデイを振り返ると、こんなに多かったのかと驚きますね。
IoT OT Security News 