Google fixes another Chrome zero-day bug exploited in attacks
2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。
Chrome for Windows/Mac/Linux において、脆弱性 CVE-2023-4863 にパッチが適用される。それぞれのバージョンは、Mac/Linux が 116.0.5845.187 であり、Windows が 116.0.5845.187/.188 である。攻撃が確認されているだけに、早急なアップグレードが推奨される。BleepingComputer でも試したが、すでに新しいアップデートが確認された。
攻撃の詳細は未公開
この致命的なゼロデイ脆弱性 CVE-2023-4863 は、WebP ヒープバッファ・オーバーフローの欠陥により引き起こされ、その結果として、クラッシュから任意のコード実行にいたるという。
このバグは、9月6日 (水) に、Apple Security Engineering and Architecture (SEAR) とトロント大学 Munk School の Citizen Lab により報告された。
Citizen Lab のセキュリティ研究者たちは、標的型スパイウェア攻撃に悪用されるゼロデイ脆弱性を数多く発見/公表してきた。そのターゲットになるのは、野党政治家/ジャーナリスト/反体制活動家派などのリスクの高い個人であり、政府の支援を受けた脅威アクターによる高度な攻撃を受け続けている人々だ。
9月7日 (木) には Apple も、Citizen Lab によりタグ付けされた、2つのゼロデイ脆弱性にパッチを適用した。この脆弱性の悪用により、最新の iOS 16.6 が NSO Group の傭兵スパイウェア Pegasus に感染し、BLASTPASS というエクスプロイト・チェーン攻撃に用いられたという。
Google は脆弱性 CVE-2023-4863 のゼロデイが悪用されていると述べているが、これらの攻撃に関する詳細は、現時点では共有されていない。
Google は、「大多数のユーザーが修正プログラムを更新するまで、バグの詳細やリンクへのアクセスは制限される可能性がある。他のプロジェクトが依存している、未修正のサードパーティ・ライブラリにバグが存在する場合にも、制限は維持される」と述べている。
Chrome ユーザーは、追加的な技術仕様が公開される前に、攻撃を阻止するためにブラウザをアップデートすることが可能となる。その一方で、多くの脅威アクターたちが、独自のエクスプロイトを作成/展開することも可能になる。
つい先日の 9月5日 (火) に、Chrome 116 がリリースされ、4件の深刻度の高い脆弱性が修正されていました。それから数日で、脆弱性 CVE-2023-4863 とエクスプロイトの存在が判明したようです。Microsoft Edge および Firefox にも、同じ CVE が割当られているので、Chromium の脆弱性ということなのでしょう。
IoT OT Security News 
You must be logged in to post a comment.