Google patches new Chrome zero-day flaw exploited in attacks
2022/07/04 BleepingComputer — Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処した。それは、2022年にパッチが適用された、4番目の Chrome ゼロデイとなる。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べている。
この、バージョン 103.0.5060.114 は、Stable Desktop チャネルを介してグローバルに展開されている。すべてのユーザーベースに到達するまで、数日から数週間だと、Google は述べている。
BleepingComputer が Chrome メニューの Help > About Google Chrome で確認したところ、この新しいアップデートは、すぐに利用できるようになっていた。また、この Web ブラウザは、新しいアップデートを自動チェックし、次回の起動後に自動的なインストールも行う。
攻撃の詳細は明らかにされていない
今日、修正されたゼロデイ脆弱性 CVE-2022-2294 は、WebRTC (Web Real-Time Communications) コンポーネントに存在する、深刻度の高いヒープベース・バッファ・オーバーフローの欠陥であり、Avast Threat Intelligence チームの Jan Vojtesek により、7月1日 (金) に報告されたものだ。
この脆弱性の悪用が成功した攻撃者は、プログラム・クラッシュ/任意のコード実行から、コード実行が達成された後のセキュリティ・バイパスにいたるまで、多様なアクティビティをとることができる。Google は、このゼロデイ脆弱性が悪用されたとしているが、現時点においては、技術的な詳細やインシデントに関する情報を共有していない。
Google は、「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正プログラムを適用するまで制限されるかもしれない。また、このバグと他のプロジェクトの依存関係や、未修正のサードパーティ・ライブラリが存在する場合には制限が続く」と述べている。この攻撃に関する詳細の提供が遅らされるのは、Chrome ユーザーによるアップデートと、悪用の試みを防止するための十分な時間の確保が必要だからだ。
今年に入ってから4回目の Chrome ゼロデイを修正
今回のアップデートで、今年に入ってからの Google は、4件目のChromeのゼロデイに対応したことになる。2022年に発見され、パッチが適用された、これまでの3つのゼロデイ脆弱性は以下の通りである。
CVE-2022-1364 – April 14th
CVE-2022-1096 – March 25th
CVE-2022-0609 – February 14th
Google の Threat Analysis Group (TAG) によると、2月に修正された CVE-2022-0609 は、その数週間前に、北朝鮮に支援された国家ハッカーにより悪用されたとのことだ。野放し状態の攻撃が発見されたのは、2022年1月4日とされている。
具体的には、北朝鮮に支援された2つの脅威グループが、偽の求人情報を利用したフィッシング・メールや、隠し iframe をホストする危険な Web サイトを介したマルウェア配布で、この脆弱性を悪用していた。
すでに攻撃者により、この脆弱性は悪用されている。したがって、今日の Google Chromeアップデートを、可能な限り早急にインストールすることが強く推奨されている。
そういえば、先日に Chrome をアップデートしたことを思い出し、お隣のキュレーション・チームに確認したところ、日本時間の 7月5日に一連の脆弱性情報をレポートしたとのことです。バージョン 103.0.5060.114 への移行により、CVE-2022-2294/CVE-2022-2295を/CVE-2022-2296 が FIX されたとのことでした。このうち、CVE-2022-2294 ではエクスプロイト・コードが確認されていると言っていました。また、7月8日には、Microsoft Edge (Chromium-based) 103.0.1264.49 で、CVE-2022-2294 が FIX されたとのことです。
IoT OT Security News 
You must be logged in to post a comment.