Google Chrome emergency update fixes 9th zero-day of the year
2022/12/02 BleepingComputer — Google は、Chrome for Windows/Max/Linux の 108.0.5359.94/.95をリリースし、深刻なセキュリティ上の欠陥に対処しまた。同社は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を認識している」と、金曜日に公開されたセキュリティ・アドバイザリで述べている。Google によると、Stable Desktop チャネルを介して、この最新バージョンの提供が開始され、数日〜数週間のうちに全ユーザー・ベースに到達するとのことだ。
このアップデートは、BleepingComputer でも確認している。Chrome menu > Help > About Google Chrome から、新しいアップデートを確認したところ、直ちにシステムにロールアウトされた。また、この Web ブラウザは自動的に新しいアップデートを確認し、次回に OS が起動されるときに、ユーザーの操作を必要とせずにインストールを行う。
攻撃の詳細は不明
このゼロデイ脆弱性 (CVE-2022-4262) は、Google Threat Analysis Group の Clement Lecigne が報告したものであり、Chrome V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因するものだ。
一般に、タイプ・コンフュージョンに関連するセキュリティ欠陥は、バッファ境界外のメモリを読み書きを可能にし、ブラウザのクラッシュを引き起こす。その一方で、この脆弱性の悪用に成功した攻撃者は、任意のコードを実行することも可能となる。
Google は、このゼロデイを悪用した攻撃を検出したと述べているが、一連のインシデントに関する技術的な詳細や情報は共有していない。
Google は、「このバグの詳細やリンクへのアクセスは、大多数のユーザーが修正プログラムで更新されるまで、制限される可能性がある。また、他のプロジェクトが依存している場合や、サードパーティのライブラリ内に脆弱性が残っている場合には、共有する情報を制限する」と付け加えている。
つまり、Google Chrome ユーザーに対して、ブラウザをアップグレードするための十分な時間を確保し、攻撃者による悪用の試みを防ぐことが狙いとなる。
今年の9つ目の Chrome ゼロデイにパッチ適用
今回の緊急アップデートで、2022年の Google は、攻撃者が野放し状態で悪用した9つ目の Chrome ゼロデイに対処した。
今年に発見され、パッチが適用された、これまでの8件のゼロデイ脆弱性は以下の通りである:
- CVE-2022-2856 – August 17
- CVE-2022-2294 – July 4
- CVE-2022-1364 – April 14
- CVE-2022-1096 – March 25
- CVE-2022-0609 – February 14
- CVE-2022-3723 – October 28
- CVE-2022-4135 – November 25
このところ、Chrome のゼロデイが続いています。日本語の記事は、以下のとおりです。
9月2日:CVE-2022-3075
10月28日:CVE-2022-3723
11月25日:CVE-2022-4135
また、気になる記事としては、11月25日の「Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール」や、12月1日の「Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用」などがあります。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.