Google Chrome ゼロデイ脆弱性 CVE-2022-2856 が FIX:野放し状態での悪用を確認

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

2022/08/17 TheHackerNews — 8月10日に Google は、デスクトップ用 Chrome ブラウザに存在する、深刻なゼロデイ脆弱性を修正するパッチを配布した。この脆弱性 CVE-2022-2856 は、Intents における信頼されていない入力に対する検証が、不十分なケースだと説明されている。Google Threat Analysis Group のセキュリティ研究者である Ashley Shen と Christian Resell は、2022年7月19日に、この不具合を報告したとされている。

いつもどおり Google は、ユーザーの大半が更新されるまで、脆弱性に関する詳細の共有は行わない。ただし、「Google は CVE-2022-2856 悪用が、野放し状態で存在することを認識している」と、簡潔な文で認めている。

今回の更新により、他の 10件のセキュリティ欠陥も対処されたが、その大半は、FedCM/SwiftShader/ANGLE/Blink などのコンポーネントにおける、解放後のメモリ使用 のバグに起因している。また、Downloads におけるヒープバッファ・オーバーフローの脆弱性も修正された。

この脆弱性により、今年に入ってから Google が解決した、Chrome のゼロデイ5件目となる。

macOS/Linux 向けの Ver 104.0.5112.101 および Windows 向けの Ver 104.0.5112.102/101 への更新が、ユーザーに推奨されている。

なお、Microsoft Edge/Brave/Opera/Vivaldi などの、Chromium ベース・ブラウザのユーザーにも、修正プログラムが利用可能になり次第、適用することが推奨される。

この記事を訳しながら、自分の Chrome を確認したら、すでに Ver 104.0.5112.101 が届いていたので、早速アップデートしました。それにしても、こうして見ると、Chromium ベース・ブラウザのシェアが大きいですね。オープンソースとしてのコア部分が共有されて、こうした脆弱性も迅速に、それぞれの製品でも解決されていくのが理想です。ただ、Chromium に対する Google の発言権が、かなり強いのではと思えてしまいます。

%d bloggers like this: