Chrome 110 Patches 15 Vulnerabilities
2023/02/08 SecurityWeek — 今週に Google は、Chrome 110 をリリースし、外部研究者から報告された脆弱性 10件を含む、全体で 15件のセキュリティ修正を行ったと発表した。外部から報告された脆弱性のうち、3件は深刻度 High Severity と評価されている。これらの中には、V8 エンジンにおけるタイプ・コンフュージョン/フルスクリーン・モードにおける不適切な実装/WebRTC における境界外読み取りなどの脆弱性が含まれる。
1つ目の脆弱性 CVE-2023-0696 は、細工した HTML ページを介してリモートから悪用される、ヒープ破壊と説明されている。Google は、この脆弱性を報告した研究者に対して、$7,000 のバグ・バウンティを支払っている。
2つ目の深刻な脆弱性 CVE-2023-0697 は、Android 版 Chrome に影響し、リモートの攻撃者が細工した HTML ページを使って、セキュリティ UI の内容を偽装する可能性を持つものだ。Google は、この脆弱性を報告した研究者に対して、$4,000 のバグ・バウンティを与えた。
3つ目の脆弱性 CVE-2023-0698 は、HTML ページを介してリモートから悪用され、境界外読み取りを実行されるものだ。このバグを発見した研究者には、$2,000 のバグ・バウンティが支払われた。
Chrome 110 では、GPU における解放済みメモリの使用/Download における不適切な実装/WebUI におけるヒープバッファ・オーバーフロー/Data Transfer と DevTools における2つのタイプ・コンフュージョンなどの、外部の研究者から報告された、深刻度が中程度の5件の脆弱性も修正されている。
脆弱性を報告した研究者たちに Google が支払ったバグ・バウンティは、$26,000 以上になるという。
同社は、これらの脆弱性が攻撃に悪用されたことについては言及していない。
Chrome の最新版は、Windows 版がバージョン 110.0.5481.77/.78、Mac/Linux版がバージョン 110.0.5481.77 としてユーザーに展開されている。iOS版/Android版は、それぞれ110.0.5481.83、110.0.5481.63/.64にアップデートされている。
あああChrome のバージョンですが、ついに 100 になったと思っていたら、すでに 110 だそうです。最近の Chrome 関連の記事で興味深かったのは、2023/01/14 の「Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた」です。よろしければ、ご参照ください。なお、脆弱性関連の記事は以下のとおりです。
2023/01/11:Google Chrome 109 がリリース
2022/12/02:ゼロデイ CVE-2022-4262 が FIX
2022/11/25:ゼロデイ CVE-2022-4135 が FIX
2022/10/28:ゼロデイ CVE-2022-3723 を FIX
IoT OT Security News 
You must be logged in to post a comment.