New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild
2022/08/17 TheHackerNews — 8月10日に Google は、デスクトップ用 Chrome ブラウザに存在する、深刻なゼロデイ脆弱性を修正するパッチを配布した。この脆弱性 CVE-2022-2856 は、Intents における信頼されていない入力に対する検証が、不十分なケースだと説明されている。Google Threat Analysis Group のセキュリティ研究者である Ashley Shen と Christian Resell は、2022年7月19日に、この不具合を報告したとされている。
いつもどおり Google は、ユーザーの大半が更新されるまで、脆弱性に関する詳細の共有は行わない。ただし、「Google は CVE-2022-2856 悪用が、野放し状態で存在することを認識している」と、簡潔な文で認めている。
今回の更新により、他の 10件のセキュリティ欠陥も対処されたが、その大半は、FedCM/SwiftShader/ANGLE/Blink などのコンポーネントにおける、解放後のメモリ使用 のバグに起因している。また、Downloads におけるヒープバッファ・オーバーフローの脆弱性も修正された。
この脆弱性により、今年に入ってから Google が解決した、Chrome のゼロデイ5件目となる。
- CVE-2022-0609 – Use-after-free in Animation
- CVE-2022-1096 – Type confusion in V8
- CVE-2022-1364 – Type confusion in V8
- CVE-2022-2294 – Heap buffer overflow in WebRTC
macOS/Linux 向けの Ver 104.0.5112.101 および Windows 向けの Ver 104.0.5112.102/101 への更新が、ユーザーに推奨されている。
なお、Microsoft Edge/Brave/Opera/Vivaldi などの、Chromium ベース・ブラウザのユーザーにも、修正プログラムが利用可能になり次第、適用することが推奨される。
この記事を訳しながら、自分の Chrome を確認したら、すでに Ver 104.0.5112.101 が届いていたので、早速アップデートしました。それにしても、こうして見ると、Chromium ベース・ブラウザのシェアが大きいですね。オープンソースとしてのコア部分が共有されて、こうした脆弱性も迅速に、それぞれの製品でも解決されていくのが理想です。ただ、Chromium に対する Google の発言権が、かなり強いのではと思えてしまいます。
IoT OT Security News 
You must be logged in to post a comment.