Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く

Chrome 105 Update Patches High-Severity Vulnerabilities

2022/09/15 SecurityWeek — 9月2日に Google は、外部の研究者から報告された7つの深刻なバグを含む、全体で 11件の脆弱性を修正する Chrome 105 アップデートのリリースを発表した。このセキュリティ問題のリストで注目されるのは、Chrome の Storage コンポーネントにおける境界外書き込みが挙げられる。続いて、PDF コンポーネントにおける3つの use-after-free の不具合と、Frames における4つ目の use-after-free の不具合が存在する。

残りの2つの脆弱性は、Internals のヒープバッファ・オーバーフローと、DevTools の信頼できない入力に対する不十分な検証がと、同社はアドバイザリで説明している。Google は、これらのバグに対して、CVE-2022-3195〜CVE-2022-3201 を採番している。

Google は、3つの欠陥に対して、$18,000 のバグバウンティ報奨金を出したと述べている。他の3つのバグに対する報酬額は、まだ決定していないため、最終的な金額は増額する可能性が高い。

最新アップデートとしては、Mac/Linux ユーザーに Chrome 105.0.5195.125 が、Windows ユーザーに Chrome 105.0.5195.125/126/127 が配布されている。

最近の Chrome リリースと同様に、メモリの安全性に関する問題が、今回のリリースでも対処され続けている。

Google は、一連のメモリエラーの発生を防ぐために、長期間にわたり取り組んでおり、昨年には Rust コンパイラの採用も発表している。さらに同社は、Use-After-Free 欠陥の悪用を防止するための新技術である。MiraclePtr の詳細を発表している。

Google Chrome で止まらない、メモリの安全性に関する脆弱性とのことなので、ちょっと調べてみました。9月2日の CVE-2022-3075 は境界を越えたメッセージ・パッシングを容易にする欠陥、7月21日の CVE-2022-22947月4日の CVE-2022-2294 はヒープベース・バッファ・オーバーフローの欠陥、6月10日の CVE-2022-2007 は WebGPU における use-after-free の欠陥というふうに、その類のものが続いています。文中には、Rust コンパイラの採用も昨年に発表しているようです。バグは、仕方のないものですが、早く今の状況が収束すると良いですね。

%d bloggers like this: