Chrome 106 Update Patches Several High-Severity Vulnerabilities
2022/10/12 SecurityWeek — 火曜日に Google は、Chrome の最新アップデートを提供し、4つの use-after-free のバグを含む、6つの深刻度の高い脆弱性にパッチを適用したと発表した。新たに解決された脆弱性は、すべて外部の研究者により発見されたものであり、Google は報告者たちに $38,000 のバグバウンティ報奨金を手渡した。
Google が支払った報奨金の額からすると、新たに対処された欠陥で最も深刻なのは 、Chrome のグラフィック・エンジンとして機能する、オープンソース 2D グラフィック・ライブラリ Skia に存在する、use-after-free の脆弱性 CVE-2022-3445 だろう。Google はアドバイザリで、この問題を報告した Qihoo 360 の Nan Wang と Yong Liu に対して、$15,000 のバグバウンティ報奨金を支払ったと述べている。
さらに Google は、WebSQL のヒープバッファ・オーバーフローの脆弱性 CVE-2022-3446 を報告した Kaijie Xu にも、$13,000 を支払ったと述べている。また、Suma Soft の Narendra Bhati が報告した、Custom Tabs の不適切な実装の脆弱性 CVE-2022-3447 に対して $7,500 を、Permissions API の use-after-free 脆弱性 CVE-2022-3448 を報告した、Kunlun Lab の研究者に $2,500 を支払ったという。
その他にも、Safe Browsing (CVE-2022-3449) と Peer Connection (CVE-2022-3450) における、2件の use-after-free 脆弱性もを解決されたが、Google はバグバウンティの金額を公表していない。
解決された問題の技術的な詳細は、大多数の Chrome ユーザーがアップデートをインストールするまで公開されないという。Chrome の最新版は、Ver 106.0.5249.119 として Windows/Mac/Linux ユーザーに配布されている。なお、Google は、新たに対処されたセキュリティ欠陥の、実際の攻撃での悪用については言及していない。
9月25日の「Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く」でも指摘されていましたが、Chrome では use-after-free の脆弱性が多発しています。Rust の採用も発表しているようですが、それにより落ち着くと良いですね。その他の、最近の Chrome で気になったトピックとしては、8月31日の「Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された」や、9月17日の「Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?」、10月3日の「Chromium アプリ・モードの危険性:Chrome/Edge/Brave ユーザーの盲点を突く攻撃手法」などがあります。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.