Google Chrome 102 アップデート:深刻度の高い脆弱性 CVE-2022-2007 などが FIX

Chrome 102 Update Patches High-Severity Vulnerabilities

2022/06/10 SecurityWeek — 今週に Google がリリースした Chrome 102 は、7つの脆弱性を修正するものであり、その中には外部研究者から報告された4つの脆弱性も含まれている。これらの脆弱性うち、CVE-2022-2007 は WebGPU における use-after-free の問題であり、発見した David Manouchehri には $10,000 のバグバウンティ報酬が贈られている。

この Use-after-free の脆弱性は、プログラムがメモリ割当てを解放した後に、ポインタをクリアしなかった場合に発生し、他の脆弱性と組み合わせると、任意のコード実行/サービス拒否/データ破壊などに悪用され、システム侵害に至る可能性がある。Chrome の場合は、サンドボックス・エスケープにつながることが多い。

もう1つの use-after-free 脆弱性 CVE-2022-2011 は、Chrome のグラフィック・エンジン抽象化レイヤーである ANGLE で確認されたものであり、SeongHwan Park により報告された。また、 Cybersecurity の研究者である Tran Van Khang が報告した、WebGL における境界外メモリアクセスの脆弱性 CVE-2022-2008 も、今回のアップデートで対応されている。Google は、これら2つの脆弱性に対する、バグバウンティーの金額は未定としている。

外部研究者から報告された、4つ目の脆弱性 CVE-2022-2010 は、コンポジットにおける境界外読み出しの脆弱性であり、Google Project Zero の Mark Brand により報告された。Google の方針により、この研究者にはバグ・バウンティは与えられない。

Chrome の最新版は、バージョン 102.0.5005.115 として Windows/Mac/Linux のユーザーに配布されている。Google は、これらの脆弱性の悪用状況について言及していないが、ユーザーには可能な限り早急に、Chrome ブラウザを更新することが推奨されている。

最近の、Chrome がターゲットになる攻撃情報としては、5月25日の「ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす」や、5月28日の「ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする」、そして、6月8日の「Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている」などがあります。Chrome をお使いの方は、すでに、バージョン 102.0.5005.115 へのアップデートが済んでいると思いますが、ご確認ください。

%d bloggers like this: