Google Chrome 112 がリリース:今年2つ目のゼロデイ CVE-2023-2136 などに対応

Google Patches Second Chrome Zero-Day Vulnerability of 2023

2023/04/19 SecurityWeek — 4月18日 (火) に Google は、Chrome で発見されたゼロデイ脆弱性 CVE-2023-2136 に対するパッチを公開した。このセキュリティ脆弱性は、Skia に存在する整数オーバーフローの欠陥であり、深刻度 High と評価されている。このバグの報告者は Google Threat Analysis Group の研究者 Clement Lecigne で、Google のポリシーに基づき、金銭的な報酬は発行されていない。Google はアドバイザリで、「CVE-2023-2136 のエクスプロイトが野放し状態で存在することを認識している」と述べている。

この脆弱性 CVE-2023-2136 は、先週の緊急パッチで修正された CVE-2023-2033 (JavaScript エンジン V8 のタイプ・コンフュージョンの脆弱性) に続き、今年になって Chrome で解決された2つ目のゼロデイ脆弱性となる。


最新の Chrome 112 には、8つのセキュリティ・アップデートが含まれている。そのうちの5件は、外部の研究者たちから報告された脆弱性に対処したもので、CVE-2023-2136 などを含む4件の脆弱性は深刻度 High と評価されている。Google は、報告した研究者たちに $20,000 のバグ・バウンティを支給したという。

支払われた報奨金の額に基づくと、外部から報告された脆弱性で最も深刻なものは、 Service Worker API に存在する2つの境界外メモリアクセスの脆弱性 CVE-2023-2133/CVE-2023-2134 となる。境界外アクセスの脆弱性は、配列の境界外の領域にアクセスすることで発生し、クラッシュ/データ漏洩などの、予期せぬ挙動を引き起こす可能性があるものだ。これらの脆弱性を報告した Rong Jian は、合計 $16,000 のバグ・バウンティを得た。

3番目に深刻度の高い脆弱性は、DevTools に存在する解放後メモリ使用の脆弱性 CVE-2023-2135 である。セキュリティ研究者の Cassidy Kim は、$3,000 のバグ・バウンティを受け取っている。

外部から報告された5つ目の脆弱性は、SQLite におけるヒープ・バッファ・オーバーフローの脆弱性 CVE-2023-2137 であり、深刻度 Medium と評価されている。報告者である 360 Vulnerability Research Institute の Nan Wang と Guang Gong には、$1,000 の報奨金が贈られた。

最新版の Chrome は、Mac 版ではバージョン 112.0.5615.137 として、Windows 版ではバージョン 112.0.5615.137/138 としてリリースされる予定だ。Linux 用の新しい Chrome のリリースも間もなく登場する予定だという。

文中で説明されているように、先週に続いてのゼロデイであり、今年に入ってから2回目となります。前回のゼロデイについては、2023/04/14 の「Google Chrome ゼロデイ脆弱性 CVE-2023-2033 が FIX:野放し状態での悪用を観測」で、その詳細が解説されています。よろしければ、以下の関連記事も、ご参照ください。

2023/04/11: Chrome の偽アップデート:世界へと広がる攻撃範囲
2023/03/22:FB ハイジャック:悪意の エクステンションが導線
2023/02/13:PyPI に悪意のパッケージ:エクステンションを侵害

%d bloggers like this: