Chrome 115 Patches 20 Vulnerabilities
2023/07/19 SecurityWeek — 7月18日 (火) に Google が発表したのは、外部の研究者から報告された 11件を含む、20件の脆弱性に対するパッチを適用した、Chrome 115 のステイブル・チャンルへのリリースである。外部から報告されたセキュリティ欠陥のうちの4件は、深刻度 High と評価されている。バグ報奨金をベースに考えると、それらの中で最も深刻なのは、WebRTC の use-after-free に起因する、脆弱性 CVE-2023-3727/CVE-2023-3728 である。Google によると、それぞれの研究者に対して、$7,000 の報奨金が支払われたという。
Chrome 115 で解決された3つ目の深刻度の高い欠陥は、Tab Groups における別の use-after-free バグである。この脆弱性 CVE-2023-3730 に関しては、$2,000 のバグ報奨金が支払われた。
4番目の脆弱性 CVE-2023-3732 は、Mojo における境界外メモリ・アクセスと説明されている。このバグは。Google Project Zero の研究者である Mark Brand により発見されたものであり、Google のポリシーによりバグ報奨金は発行されない。
Chrome 115 では、外部から報告された深刻度 Medium の脆弱性6件も解決されている。これらの脆弱性は、WebApp Installs/Picture In Picture/Web API Permission Prompts/Custom Tabs/Notifications/Autofill コンポーネントにおける不適切な実装に起因すると説明されている。このブラウザのリリースでは、Themes における入力の検証が不十分だという、深刻度 Low のバグも解決されている。
Google は、報告した研究者たちに対して、総額で $34,000 バグ報奨金を支払ったとしている。
なお、同社は、新たに解決された脆弱性が。悪意のある攻撃に悪用されたことについては言及していない。いつものとおり、解決された脆弱性に関する技術的な詳細は、Chrome の最新アップデートが、大半のユーザーによりインストールされるまで伏せられている。
Chrome 115 がリリースされ、4件の High 脆弱性などが FIX とのことですので、忘れずにアップデートしてください。ちなみに、Chrome 114 は 6月5日にリリースされています。最近の Chrome に関する記事としては、2023/06/21 の「Google Chrome と脆弱性:この Web ブラウザは安全に使えるのか?」が、とても興味深かったです。
IoT OT Security News 
You must be logged in to post a comment.