Google Chrome emergency update fixes 5th zero-day exploited in 2023
2023/11/29 BleepingComputer — Google Chrome の緊急セキュリティ・アップデートがリリースされ、今年で5件目となるゼロデイ脆弱性の悪用への対処が行われた。今日のセキュリティ・アドバイザリで Google は、この脆弱性 CVE-2023-6345 に対するエクスプロイトの存在を認めている。Google は、「脆弱性 CVE-2023-6345 が、野放し状態で悪用されていることを認識している」と述べている。
現時点において、この脆弱性は Stable Desktop チャネルで対処されており、パッチが適用されたバージョンとして、Windows ユーザー には 119.0.6045.199/.200 が、Mac/Linux ユーザー には 119.0.6045.199 が、グローバルに展開されている。
Google のセキュリティ・アドバイザリによると、このセキュリティ・アップデートが全ユーザーに行き渡るには数日〜数週間かかる可能性があるという。しかし、今日の未明において BleepingComputer がアップデートを確認したところ、その時点で利用可能になっていた。
Google Chrome は、新しいアップデートをチェックし、次の起動時に自動的にインストールすることで、手動でのアップデートを忘れたユーザーにも対応する。
スパイウェア攻撃に悪用される可能性が高い
この深刻度の高いゼロデイ脆弱性は、オープンソースの 2D グラフィックス・ライブラリ Skia 内の、整数オーバーフローに起因し、クラッシュから任意のコード実行に至るまでの、さまざまなリスクをもたらす。なお、Skia は、ChromeOS/Android/Flutter などの製品でも、グラフィックス・エンジンとして使用されるものだ。
Google Threat Analysis Group (TAG) のセキュリティ研究者である Clément Lecigne により、このバグは 11月24日 (金) に報告された。
国家に支援されたハッキング・グループが悪用する、ゼロデイ脆弱性を発見することで、Google TAG は知られている。この種の脆弱性が放置されると、多くの場合において、ジャーナリストや野党政治家などを標的とするスパイウェア・キャンペーンが発生する。
Google は、「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正パッチを適用するまで制限される可能性がある。また、他のプロジェクトが同様に依存している状況で、未修正のサードパーティ製ライブラリにバグが存在する場合にも、制限が維持される」と述べている。
今回のケースにおいても、新たに公開された脆弱性 CVE-2023-6345 に関する技術情報を悪用して、脅威アクターが独自の エクスプロイトを開発する可能性を減らす目的があるとしている。
2023年9月にも Google は、攻撃に悪用された2件のゼロデイ脆弱性 CVE-2023-5217/CVE-2023-4863 を修正している。
Google Chrome で利用されている、2D グラフィックス・ライブラリ Skia 内に整数オーバーフロー脆弱性とのことです。すでにアップデートが配信されているようなので、お早めに確認してください。なお、この Skia の脆弱性ですが、11月30日付けで CISA KEV にも登録されています。
IoT OT Security News 
You must be logged in to post a comment.