CISA warns of a patched Chrome flaw now exploited in attacks
2024/02/07 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、広く使用されている Google Chrome Web ブラウザに存在し、積極的に悪用されるセキュリティ脆弱性に関して警告を発した。この脆弱性 CVE-2023-4762 の悪用に成功した攻撃者は、リモートから任意のコード実行を可能にし、ユーザーに深刻なリスクをもたらす。その影響として甚大な被害が予測されるため、個人および組織のユーザーは緊急の対応を迫られている。
匿名の研究者により発見され、2023年9月5日のセキュリティ・アドバイザリ・アップデートで公開された、この脆弱性の CVSS 値は 8.8 である。Google Chrome の V8 JavaScript エンジン内における、Type Confusion の脆弱性だと特定されており、リモートの攻撃者は、細工された HTML ページを介して、任意のコードを実行できるという。
Google は、CVE-2023-4762 の積極的な悪用に関する、詳細情報を提供していないが、この脆弱性が CISA の KEV カタログに追加されたという事実が、その悪用の状況を物語っている。この脆弱性の野放し状態が悪用されることで重大なリスクが生じ、データ漏洩/システム侵害などの悪意の行為が可能になるとされる。
この脆弱性が発見された後に、Google は迅速に対応し、Mac/Linux 用のバージョン 116.0.5845.179 と、Windows用のバージョン 116.0.5845.179/.180 をリリースした。これらのパッチにより、問題となっている脆弱性への修正が実施され、潜在的な悪用からユーザーを保護することになる。
しかし、Google の努力にも関わらず、CISA は米国連邦政府機関に対して、2024年2月27日までに、この脆弱性にパッチを当てることを義務付ける厳しい指令を発した。この指令は、拘束力のある運用指令 (BOD 22-01) で裏付けられるものであり、脆弱性 CVE-2023-4762 による深刻な問題と、迅速な対応の必要性が強調されることになる。
このセキュリティの脅威を考慮し、個人および組織のユーザーは、システムとデータを保護するための積極的な対策を講じる必要がある。
- 迅速なパッチの適用: 悪用のリスクを軽減するため、Google Chrome のバージョンを 116.0.5845.179 以降に更新する。
- 警戒の強化: Web サイトの閲覧および、未知の Web サイトや、不審な Web サイトにアクセスしたりする際には、十分な注意が必要になる。不審なリンクのクリックや、信頼できないソースからファイル・ダウンロードを避ける必要がある。
- セキュリティ教育: フィッシング詐欺などの、一般的な攻撃経路に対する認識などの、サイバー・セキュリティ衛生の重要性について、組織内のユーザーを教育する。
- 追加のセキュリティ対策の活用: 潜在的な脅威に対する防御を強化するために、エンドポイント保護/Web フィルタリング/侵入検知システムなどの、セキュリティ・ソリューションの導入を検討する。
文中の解説を読むと、Chrome の脆弱性が CISA KEV に入るのは、ちょっと珍しいことなのかもしれませんね。なお、前回の Chrome 関連の脆弱性は、2024/01/21 の「Google Chrome の脆弱性 CVE-2024-0517:PoC エクスプロイトが公開」でした。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.