Google pushes emergency Chrome update to fix 8th zero-day in 2022
2022/11/25 BleepingComputer — Google は、Chrome デスクトップ版のセキュリティ・アップデートを緊急リリースし、今年に入ってから攻撃で悪用された、8つ目のゼロデイ脆弱性に対応した。Google Threat Analysis Group の Clement Lecigne が、2022年11月22日に発見した、この深刻度の高い脆弱性 CVE-2022-4135 は、GPU におけるヒープバッファ・オーバーフローに起因するものだ。Google は、「CVE-2022-4135 のエクスプロイトが、野放し状態で悪用されてことを認識している」と、アップデート通知に記している。
Chrome のセキュリティ・アップデートをインストールするためには、ユーザーにおける時間の確保が必要だとする Google は、その悪用の拡大を防ぐために、脆弱性に関する詳細を保留している。
同社は、「多くのユーザーが修正プログラムを適用するまで、バグの詳細やリンクへのアクセスが制限される可能性がある。また、他のプロジェクトが依存しているサードパーティのライブラリに、存在するバグが修正されていない場合にも、制限を保持する予定だ」と述べている。
一般的に、ヒープバッファ・オーバーフローはメモリの脆弱性であり、その結果として、禁止されたロケーション (通常は隣接する場所) にチェックなしでデータが書き込まれるものである。
このヒープバッファ・オーバーフローの悪用に成功した攻撃者は、アプリケーションのメモリを上書きして実行経路を操作し、無制限の情報アクセスや、任意のコード実行を引き起こす可能性がある。
Chrome のユーザーは、脆弱性 CVE-2022-4135 に対応したバージョン 107.0.5304.121/122 (Windows 版) および、107.0.5304.122 (Mac/Linux 版) に更新することが推奨される。
Chrome のアップデートは、Settings → About Chrome → Wait for the download of the latest version to finish → Restart the program で実行できる。
Chrome を最新版にアップデート
Chrome バージョン 107.0.5304.121/122 では、今年に入って8番目の活発に悪用されたゼロデイ脆弱性が修正されている。Chrome は広く使用されているブラウザであり、攻撃者の関心の高さも明らかである。
過去8回のゼロデイ修正は、以下の通りだ。
- CVE-2022-3723 – October 28th
- CVE-2022-3075 – September 2nd
- CVE-2022-2856 – August 17th
- CVE-2022-2294 – July 4th
- CVE-2022-1364 – April 14th
- CVE-2022-1096 – March 25th
- CVE-2022-0609 – February 14th
これらの脆弱性は、高度なハッカーにより利用され、高度な標的型攻撃で使用されることが多い。したがって、すべての Chrome ユーザーに対して、悪用の可能性を防ぐために、可能な限り早急に、この Web ブラウザを更新することを強く推奨する。
Chrome にヒープバッファ・オーバーフローのゼロデイ脆弱性とのことです。最近の Chrome の脆弱性としては、10月28日の「Google Chrome 107 の緊急アップデート:新たなゼロデイ CVE-2022-3723 を FIX」や、10月12日の「Chrome 106 の深刻な脆弱性6件が FIX:なかなか止まらない use-after-free 欠陥」などがあります。よろしければ、Chrome Extension で検索も、ご利用ください。このところ、エクステンションに関する問題が増えています。ちょっと気になる傾向です。
IoT OT Security News 
You must be logged in to post a comment.