Google fixes a new actively exploited Chrome zero-day, it is the seventh one this year
2022/10/28 SecurityAffairs — Google は、積極的に悪用されるゼロデイ脆弱性 CVE-2022-3723 に対処するために、Chrome 107 の緊急アップデートをリリースした。CVE-2022-3723 は、Chrome V8 の Javascript エンジンに存在するタイプ・コンフュージョンの脆弱性であり、2022年10月25日に Avast の Jan Vojtěšek/Milánek/Przemek Gmerek により報告されたものだ。
Google のアドバイザリには、「我々は、CVE-2022-3723 のエクスプロイトが、野放し状態で存在するという報告を受けている。バグの詳細やリンクへのアクセスは、大多数のユーザが修正プログラムを更新するまで、制限された状況におかれることがある。また、そのバグがサードパーティのライブラリに存在し、他のプロジェクトが同様に依存しているか、まだ修正されていない場合にも、制限を設ける」と記されている。
Google が 2022年に修正した Chrome のゼロデイは、下記の6件に続いて、これで7件目となる。
- CVE-2022-3075 (9月2日):runtime ライブラリの Mojo コレクションにおける不十分なデータ検証の脆弱性
- CVE-2022-2856 (8月17日):Intents における信頼されていない入力の不十分な検証の脆弱性
- CVE-2022-2294 (7 月 4 日):Web Real-Time Communications (WebRTC) コンポーネントにおけるヒープバッファ・オーバーフローの脆弱性
- CVE-2022-1364 (4 月 14 日):V8 JavaScript エンジンに存在するタイプ・コンフュージョンの脆弱性
- CVE-2022-1096 (3 月 25 日):V8 JavaScript エンジンに存在するタイプ・コンフュージョンの脆弱性
- CVE-2022-0609 (2月14日):Animationコンポーネントに存在する解放済みメモリの使用の脆弱性
Google は、この攻撃に関する詳細を明らかにしておらず、特定の脅威アクターによるものであるともしてない。また、CVE-2022-3723 を悪用した攻撃が、Avast が詳述した Candiru の監視活動に関連する操作の一部であるかどうかは、現時点では不明だ。
この脆弱性 CVE-2022-3723 ですが、Google のアドバイザリでは High、NVD では CVSS 値 8.8 と評価されています。そして、脆弱性が FIX された Version は、 107.0.5304.87 となります。マダの方は、急がれたほうが良いと思います。よろしければ、Google Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.