Google Chrome のゼロデイ脆弱性 CVE-2022-0609:積極的な悪用と緊急アップデート

New Chrome 0-Day Bug Under Active Attack – Update Your Browser ASAP!

2022/02/14 TheHackerNews — 月曜日に Google は、Web ブラウザ Chrome に存在する、8つのセキュリティ問題の修正プログラムを公開した。この中には、実際の攻撃で積極的に悪用されている、深刻度の高い脆弱性も含まれており、2022年に入ってから初めてのゼロデイ・パッチとなった。

脆弱性 CVE-2022-0609 は、Animation コンポーネントに存在する use-after-free の問題であり、この脆弱性が悪用されると、影響を受けたシステムにおいて有効なデータが破壊され、任意のコードが実行される可能性があると説明されている。

Google は、「脆弱性 CVE-2022-0609 のワイルドな悪用が生じているという報告を認識している」と、この脆弱性が積極的に悪用されていることを認める簡潔な声明を発表した。

この欠陥を発見/報告したのは、Google Threat Analysis Group (TAG) の Adam Weidemann と Clément Lecigne である。

Chrome 0-Day


また、Google は、File Manager/File Manager/ANGLE/GPU に影響を与える use-after-free flaws の欠陥と、Tab Groups のヒープバッファ・オーバーフローの欠陥、Mojo の整数オーバーフロー、Gamepad API の不適切な実装の問題にも対処している。

Google Chrome を利用しているユーザーには、潜在的な脅威を軽減するために、Windows/Mac/Linux 用の最新バージョン 98.0.4758.102 へのアップデートが強く推奨される。なお、Google は 2021年に入ってから、Chrome の 17件のゼロデイ欠陥に対処している。

この記事を見つけた直後から、最新バージョン 98.0.4758.102 へのアップデートが可能になっていました。振り返ってみると、Chrome のゼロデイ脆弱性に関する記事は、かなりの本数となっています。2月12日にポストした「Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額」を見ると、脆弱性を探して直すというプロセスを、Google が大事にしていることが分かります。よろしければ、Chrome で検索も、ご利用ください。

%d bloggers like this: