Chrome 109 Patches 17 Vulnerabilities
2023/01/11 SecurityWeek — 2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表した。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性である。また、High と評価された2件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 である。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしている。
Chrome の最新版では、合計で8件の Medium レベル脆弱性が解決され、そのうち5件は、Fullscreen API/Iframe Sandbox/Permission Prompts などの、Chrome コンポーネントにおける不適切な実装に起因すると説明されている。
その他の脆弱性としては、Cart における2件の use-after-free と、Platform Apps におけるヒープバッファ・オーバーフローがあった。Chrome 109 では、外部から報告された4件の Low レベル脆弱性に対してもパッチを適用している。
興味深いことに Google は、今回のアップデートで対処された Low レベル脆弱性 CVE-2023-0138 (libphonenumber コンポーネントのヒープバッファ・オーバーフロー) に対して、最も高いバグ報奨金を支払ったとしている。この問題を特定した研究者は、$8,000 の報奨金を受け取ったが、Medium レベル脆弱性に関しては、報奨金の最高額が $5,000 だった。
Google は、外部の研究者たちに対して、合計で $39,000 のバグ報奨金を支払ったが、まだ金額が決定していないものも含まれるため、最終的な金額はさらに上がるだろう。
Chrome の最新版は、Linux 109.0.5414.74/Windows 109.0.5414.74/.75/macOS 109.0.5414.87 となる。
Google は、それぞれの脆弱性における、攻撃での悪用については言及していない。なお、2022年の Google は、Chrome に対して9件のゼロデイ・パッチを適用している。
手元の Mac でアップデートしたら、Chrome 109.0.5414.87 になりました。まだの方は、お手すきのときに、ご対応ください。今回は、ゼロデイにならずに良かったです。最近の Chrome に関する脆弱性は、以下のとおりです。
10月28日:Chrome 107:新たなゼロデイ CVE-2022-3723 を FIX
11月25日:ゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認
12月2日:ゼロデイ CVE-2022-4262 が FIX:V8 JavaScript に問題
IoT OT Security News 
You must be logged in to post a comment.