Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability
2022/03/25 TheHackerNews — 金曜日に Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布した。この ゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因する。なお、このバグを 2022年3月23日に報告したのは、匿名の研究者だとされている。
タイプ・コンヒュージョンのエラーは、リソース (変数やオブジェクト) が、初期化されたものと互換性のないタイプを使ってアクセスされたときに発生するものであり、C や C++ のようなメモリ・セーフに対応しない言語では、脅威アクターによる境界外メモリ・アクセスを許し、深刻な結果をもたらす可能性がある。
MITRE の CWE では、「メモリ・バッファに誤ったタイプを使ってアクセスした場合に、コードがアクセスするタイプよりも、割り当てられたバッファが小さければ、バッファ境界外のメモリを読み書きすることが可能となり、クラッシュやコードの実行につながる」と説明されている。
Google は、「脆弱性 CVE-2022-1096 の悪用が、野放しの状況であることを認識している。ただし、さらなる悪用を防ぐために、そして、大多数のユーザーが修正プログラムを適用するまで、詳細情報は共有できない」と述べている。
脆弱性 CVE-2022-1096 は、今年に入ってから Google Chromeで対処された、2つ目のゼロデイ脆弱性である。なお、1つ目は、2022年2月14日にパッチが適用されたアニメーション・コンポーネントの use-after-free の脆弱性 CVE-2022-0609 である。
今週の初め、Google の Threat Analysis Group (TAG) は、この欠陥を武器に、北朝鮮の国家支援グループが、米国に拠点を置くニュースメディア/IT/暗号通貨/フィンテックなどの組織を攻撃するために仕組んだ、双子のキャンペーンの詳細を公開している。
Google Chrome のユーザーには、潜在的な脅威を軽減するために、Windows/Mac/Linux の最新 Ver 99.0.4844.84 へのアップデートが強く推奨されている。また、Microsoft Edge/Opera/Vivaldi などの Chromium ベース・ブラウザのユーザーに対しても、修正プログラムが利用可能になり次第、適用することを推奨している。
この Ver 99.0.4844.84 へのアップデートは確実に行う必要がありますね。ただし、Chrome は Ver 100.0.4896.60 に上がっています。最近の Chrome に関しては、2月14日の「Google Chrome のゼロデイ脆弱性 CVE-2022-0609:積極的な悪用と緊急アップデート」と、2月15日の「CISA 警告:脆弱性の悪用リストに Google Chrome と Adobe Magento が追加」があります。
IoT OT Security News 