Google Chrome emergency update fixes new zero-day used in attacks
2022/09/02 BleepingComputer — Google は、Chrome for Windows/Mac/Linux 105.0.5195.102 をリリースし、2022年に入って攻撃に悪用された、6番目のゼロデイ脆弱性にパッチを適用した。同社は、金曜日に公開したセキュリティ・ アドバイザリで、「我々は、脆弱性 CVE-2022-3075 が、野放し状態で悪用されていると認識している」と述べている。Google によると、この新バージョンは Stable Desktop チャンネルで展開されており、数日〜数週間のうちに全ユーザーに行き渡るようだ。
BleepingComputer が、新しいアップデートの有無を Chrome menu > Help > About Google Chrome で確認したところ、すでにダウンロード可能になっていた。また、この Web ブラウザでは、新しいアップデートが自動チェックされるため、次回の起動後に自動的にインストールされるようになる。
悪用の詳細は不明
今回に修正されたゼロデイ脆弱性 CVE-2022-3075 は、Mojo での不十分なデータ検証により引き起こされる深刻度の高い脆弱性である。具体的に言うと、ランタイム ライブラリのコレクションにおける、プロセス間およびプロセス内での、境界を越えたメッセージ・パッシングを容易にする欠陥に起因する。
Google によると、この脆弱性は、匿名のセキュリティ研究者により発見/報告されたとのことだ。同社は、このゼロデイが悪用されたことを認めているが、これらのインシデントおよびテクノロジーに関する詳細情報は未公開である。
Google は、「バグの詳細へのアクセスは、ユーザーの大半が修正プログラムで更新されるまで、制限され続けるかもしれない。また、このバグが他のプロジェクトに影響している場合や、サードパーティ・ライブラリが未修正の場合には、制限を保持する」と付け加えている。
同社は、これらの攻撃に関する詳細情報の公開を遅らせることで、脅威アクターが攻撃で展開するエクスプロイト作成を抑制し、Chrome ユーザーにアップデートのための十分な時間を与えようとしている可能性がある。
2022年に修正された6つ目の Chrome ゼロデイ
今回の Google のリリースにより、Chrome ゼロデイに対応するために発行されたセキュリティ・アップデートは、2022年に入ってから6件となる。
2022 年に発見され、すでにパッチが適用された、これまでの5件のゼロデイ脆弱性は以下の通りだ。
- CVE-2022-2856 – 8月17日
- CVE-2022-2294 – 7月4日
- CVE-2022-1364 – 4月14日
- CVE-2022-1096 – 3月25日
- CVE-2022-0609 – 2月14日
脆弱性 CVE-2022-0609 は、Google Threat Analysis Group (TAG) が明らかにしたように、2月のパッチがリリースされる数週間前に、北朝鮮の国家支援ハッカーにより悪用されていた。ただし、最も早い悪用の兆候は1月上旬に発見されていた。
この脆弱性は、偽の求人情報を使ったフィッシング・キャンペーンで悪用され、またエクスプロイト・キットの iframe をホストする、危険な Web サイトを介したマルウェア展開でも悪用された。
今日、パッチが適用されたゼロデイ脆弱性は、実際に攻撃者による悪用が確認されているため、Chrome Web ブラウザのアップグレードを、可能な限り早急に行うことが推奨される。
8月31日の「Chrome 104 の恐ろしいバク:悪意の Web サイトからクリップボードが上書きされる?」の後書きにあるように、この 105.0.5195.102 は、別の脆弱性 CVE-2022-3075 に対応するものです。また、8月16日の「Kaspersky 調査:Web ブラウザ・エクステンション 700万に潜む悪意のアドウェア」で確説されているように、Chrome のエクステンションには、数多くの問題が存在するようです。とにかく、Chrome 本体のバージョンを最新に保ち、必要最小限のエクステンションに制限するという、使い方が重要です。
IoT OT Security News 
You must be logged in to post a comment.