Chrome 116 Update Patches High-Severity Vulnerabilities
2023/09/06 SecurityWeek — 9月5日 (火) に Google は、Chrome 116 アップデートをリリースし、外部の研究者たちから報告された4件の深刻度の高い脆弱性を修正した。1つ目の脆弱性 CVE-2023-4761 は、FedCM (Federated Credential Management) API における境界外メモリ・アクセスの問題だと説明されている。境界外メモリ・アクセス・エラーは、プログラムがバッファ境界外のメモリ・アドレスを読み取る際に発生するものであり、サービス拒否 (DoS) 状態を引き起こし、その他の脆弱性との組み合わせによりコード実行にいたる可能性がある。
2つ目の脆弱性 CVE-2023-4762 は、V8 JavaScript エンジンにおけるタイプ・コンヒュージョンの問題である。この脆弱性は、境界外メモリ・アクセスにつながる可能性がある。
3つ目の脆弱性 CVE-2023-4763 は、Chrome の Networks コンポーネントにおける use-after-free の欠陥である。
メモリ破壊の一種である use-after-free の問題には、任意のコード実行や DoS 状態を引き起こす可能性がある。さらに、他の脆弱性と組み合わされた場合には、システムの完全な侵害につながる可能性もある。
また、Chrome の use-after-freeの 欠陥は、ブラウザ・プロセスのバグや、基礎となる OS の問題と組み合わされることで、Chrome サンド・ボックスの回避にいたる恐れもある。
4つ目の脆弱性 CVE-2023-4764 は、BFCache (ページの完全なスナップショットが保存されるメモリ内キャッシュ) に存在するセキュリティ UI の欠陥である。細工した HTML ページを用いるリモートの攻撃者が、URL バー (Omnibox) のコンテンツを偽装するため悪用するケースが生じる。
Google は、一連の脆弱性を発見した研究者たちに対して、現時点ではバグ報奨金を決定していない。
最新バージョン Chrome は、macOS/Linux 向けの に116.0.5845.179 と、Windows 向けの 116.0.5845.179/.180 が、すでにリリースされている。
また Google は、Chrome Extended Stable チャンネルについても、macOS 向けの 116.0.5845.179 と、Windows 向けの 116.0.5845.180 が、リリースされていることを発表している。
これらの脆弱性が、攻撃で悪用されたことについては、Google は言及していない。
先ほど確認したら、すれにアップデートがダウンロードされていました。つい先日の 2023/08/17 「Google Chrome 116 の最新リリース:8件の High を含む 26件のバグを修正」で、大規模アップデートが行われましたが、Chrome 117 まで待てない脆弱性が修正されたということなのでしょう。お手元の Chrome のバージョンを、ご確認ください。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.