Google Patches Third Chrome Zero-Day of 2023
2023/06/06 SecurityWeek — 6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、3つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップ・デートを公開した。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、2件の欠陥を修正したとのことだ。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘したが、攻撃に関する情報は一切共有していない。
この脆弱性 CVE-2023-3079 の悪用が、Google Threat Analysis Group の Clement Lecigne により発見されたという事実から示唆されるのは、この欠陥が商用スパイウェア・ベンダーにより悪用されている可能性が高いことだ。
さまざまなスパイウェア・ベンダーによる悪用を説明するブログ記事を、Google は定期的に公開しているが、政府機関による監視を合法的に見せる、宣伝行為だと捉える人も多い。その一方で、全体主義政権を批判する人々をスパイに仕立て上げるために、同社のソリューションが悪用されてきたこともある。
スパイウェア・ベンダーたちは多くのケースにおいて、Android 端末をターゲットに設計した、複雑なエクスプロイト・チェーンに Chrome の脆弱性を統合している。
先日に Google は、バグバウンティ・プログラムを介して最大で $180,000 の報奨金を、Chrome のサンドボックス・エスケープへといたる、深刻なエクスプロイト・チェーンに関して提供すると発表している。
2022年おいて Google は、Threat Analysis Group が発見した5件の脆弱性を含む、全体で9件の Chrome ゼロデイにパッチを適用している。
とにかく狙われやすい Chrome なので、このパッチだけは最優先で当てるようにしています。今年に入ってから、3回目のゼロデイとのことですが、1回目と2回目は以下のとおりです。よろしければ、Chrome で検索も、ご利用ください。
2023/04/19:Chrome 112 がリリース:今年2つ目のゼロデイに対応
2023/04/14:Chrome ゼロデイ CVE-2023-2033 が FIX
IoT OT Security News 
You must be logged in to post a comment.