Google Chrome – IoT OT Security News

Google Chrome のゼロデイ脆弱性 CVE-2023-6345 が FIX：野放し状態で悪用されている

Google Chrome emergency update fixes 5th zero-day exploited in 2023

2023/11/29 BleepingComputer — Google Chrome の緊急セキュリティ・アップデートがリリースされ、今年で５件目となるゼロデイ脆弱性の悪用への対処が行われた。今日のセキュリティ・アドバイザリで Google は、この脆弱性 CVE-2023-6345 に対するエクスプロイトの存在を認めている。Google は、「脆弱性 CVE-2023-6345 が、野放し状態で悪用されていることを認識している」と述べている。

CISA KEV 警告 22/09/08：Chrome／ D-Link／QNAP などの 12件の脆弱性が追加

CISA orders agencies to patch Chrome, D-Link flaws used in attacks

2022/09/08 BleepingComputer — CISA は、攻撃に悪用されるバグ・リストに、D-Link の２つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの２つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加した。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられた。

Google Chrome ゼロデイ脆弱性 CVE-2022-2856 が FIX：野放し状態での悪用を確認

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

2022/08/17 TheHackerNews — 8月10日に Google は、デスクトップ用 Chrome ブラウザに存在する、深刻なゼロデイ脆弱性を修正するパッチを配布した。この脆弱性 CVE-2022-2856 は、Intents における信頼されていない入力に対する検証が、不十分なケースだと説明されている。Google Threat Analysis Group のセキュリティ研究者である Ashley Shen と Christian Resell は、2022年7月19日に、この不具合を報告したとされている。

Android バンキング型トロイの木馬 SOVA：新たな機能でターゲットを拡大

SOVA Android Banking Trojan Returns With New Capabilities and Targets

2022/08/15 TheHackerNews — Android バンキング型トロイの木馬 SOVA は、バンキング・アプリ／仮想通貨取引／ウォレットなどの、200以上のモバイルアプリを標的とするために、積極的にアップグレードが続けられている。そして、ターゲットとなるアプリの数は、開発当初の 90から増加している。

Google の計画変更：Chrome のサードパーティ・クッキー廃止を 2024年まで再延期

Google Delays Blocking 3rd-Party Cookies in Chrome Browser Until 2024

2022/07/28 TheHackerNews — Google は水曜日に、Google Chrome のサードパーティ・クッキーを無効にする計画を、2023年後半から 2024年後半へと再延期することを発表した。Privacy Sandbox チームの Vice President である Anthony Chavez は、「私たちが受け取った最も一貫したフィードバックは、Chrome のサードパーティ・クッキーを廃止する前に、新しいプライバシー・サンドボックス技術の、評価／テストの時間が必要だというものだった」と述べている。

Google Chrome のゼロデイ脆弱性 CVE-2022-2294：Candiru スパイウェアが悪用

Chrome zero-day used to infect journalists with Candiru spyware

2022/07/21 BleepingComputer — イスラエルのスパイウェア・ベンダー Candiru が、Google Chrome のゼロデイ脆弱性を悪用していたことが判明した。彼らはスパイウェア DevilsTongue を用い、中東のジャーナリストや、彼らと利害関係のある人々に対してスパイ活動を行っていた。このヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 は、WebRTC に存在するものだ。悪用に成功した攻撃者が、ターゲット・デバイス上でコードを実行する可能性がある。Google は、2022年7月4日に、この脆弱性にゼロデイ・パッチを適用した際に、活発に悪用されていることを明らかにしていたが、それ以上の詳細は提供しなかった。

Google Chrome フィンガープリントという問題：エクステンションの種類からユーザー追跡ハッシュの取得が可能

Google Chrome extensions can be fingerprinted to track you online

2022/06/19 BleepingComputer — ある研究者が、ユーザーの追跡を可能にするフィンガープリントを、ユーザーのデバイスにインストールされている Google Chrome のエクステンションから取得する Web サイトを公開した。 Web 上のユーザーの追跡を可能にするフィンガープリントは、つまり追跡用ハッシュは、Web サイトにアクセスするデバイスの、さまざまな特性をベースに生成される。このデバイスの特性には、GPUの性能／インストールされている Windows アプリケーション／デバイスの画面解像度／ハードウェア構成／インストールされているフォントなどが含まれる。さらに、同じ方式を使用して、複数のサイトでデバイスを追跡することも可能になる。

Google Chrome 102 アップデート：深刻度の高い脆弱性 CVE-2022-2007 などが FIX

Chrome 102 Update Patches High-Severity Vulnerabilities

2022/06/10 SecurityWeek — 今週に Google がリリースした Chrome 102 は、７つの脆弱性を修正するものであり、その中には外部研究者から報告された４つの脆弱性も含まれている。これらの脆弱性うち、CVE-2022-2007 は WebGPU における use-after-free の問題であり、発見した David Manouchehri には $10,000 のバグバウンティ報酬が贈られている。

Emotet の最新情報：Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名／有効期限／カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

CISA 警告 4/15：VMware や Chrome の脆弱性が悪用リストに追加

CISA orders agencies to fix actively exploited VMware, Chrome bugs

2022/04/15 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているバグのリストに、VMware の特権昇格の脆弱性および、Google Chrome のリモートコード実行のゼロデイ脆弱性などの、９件のセキュリティ欠陥を追加したことを発表した。4月6日にパッチが適用された VMwareの脆弱性 CVE-2022-22960 は、サポートスクリプトの不適切なパーミッションにより、脆弱なサーバー上での root への特権昇格を攻撃者に許してしまうものである。

Google Chrome に緊急パッチ：野放しで悪用されているゼロデイ脆弱性に対応

Google Releases Urgent Chrome Update to Patch Actively Exploited Zero-Day Flaw

2022/04/14 The Hacker News — 4月11日に Google は、同社の Web ブラウザ Chrome に存在する、２つのセキュリティ問題に対処するための緊急パッチを配布した。この深刻な脆弱性 CVE-2022-1364 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因すると説明されている。Google Threat Analysis Group の Clément Lecigne が、この欠陥を 2022年4月13日に報告したとされている。

Google Chrome のゼロデイ脆弱性が FIX：緊急アップデートが配布されている

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

2022/03/25 TheHackerNews — 金曜日に Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布した。このゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因する。なお、このバグを 2022年3月23日に報告したのは、匿名の研究者だとされている。

ロシア政府による TLS 認証局 (CA) の設立：Yandex／Atom ブラウザで経済制裁に対抗

Russian Pushing New State-run TLS Certificate Authority to Deal With Sanctions

2022/03/11 TheHackerNews — ロシア政府は、ウクライナへの軍事侵攻に伴う西側諸国の制裁措置により発生した、Web サイトへのアクセスに関する問題に対処するため、独自の TLS 認証局 (CA) を設立した。Gosuslugi パブリック・サービス・ポータルに掲載されたメッセージによると、ロシアの Ministry of Digital Development は、TLS 証明書の取消／失効に際して、発行／更新を処理する国内代替機関を提供する予定とされる。このサービスは、ロシアで活動する全て法人に提供され、要求に応じて５営業日以内にサイト・オーナーに証明書が届けられるという。

CISA 警告：脆弱性の悪用リストに Google Chrome と Adobe Magento が追加

CISA tells federal agencies to patch actively exploited Chrome, Magento bugs

2022/02/15 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chrome／Adobe Commerce／Magento Open Source に影響を与える、ゼロデイを含む９つの脆弱性を新たにリストに加えた。Chrome の脆弱性 CVE-2022-0609 は、深刻度の高いuse after free のバグであり、Chrome 98.0.4758.102 未満のバージョンを実行しているコンピュータで、任意のコード実行やセキュリティ・サンドボックス・エスケープなどを許す可能性がある。

Google Chrome のゼロデイ脆弱性 CVE-2022-0609：積極的な悪用と緊急アップデート

New Chrome 0-Day Bug Under Active Attack – Update Your Browser ASAP!

2022/02/14 TheHackerNews — 月曜日に Google は、Web ブラウザ Chrome に存在する、８つのセキュリティ問題の修正プログラムを公開した。この中には、実際の攻撃で積極的に悪用されている、深刻度の高い脆弱性も含まれており、2022年に入ってから初めてのゼロデイ・パッチとなった。

Microsoft Outlook のゼロデイ／ゼロクリック RCE 脆弱性の報奨金は $400,000

Microsoft Outlook RCE zero-day exploits now selling for $400,000

2022/01/28 BleepingComputer — Exploit Brokerである Zerodium は、Microsoft Outlook メール・クライアントにおけるリモートコード実行 (RCE) を可能にする、ゼロデイ脆弱性に対する報酬を $400,000 に引き上げることを発表した。同社は、この新たな報酬額は永続的なものではないと短いツイートで述べているが、提出の終了日はまだ公表されていない。

Google Chrome 97：１件の Critical と 10件の High などの脆弱性を修正

Chrome 97 Patches 37 Vulnerabilities

2022/01/05 Security Week — 今週に Google は、外部の研究者から報告された 24件の脆弱性を含む、合計で 37件のセキュリティ修正を施した Chrome 97 を、Stable Channel でリリースした。外部から報告された 24件のセキュリティ上の欠陥のうち、深刻度 Critical は 1件、High は 10件、Medium は 10件、Low は 3件となっている。脆弱性の種類としては、use-after-free が 7件で、不適切な実装が 8件などになっている。

Google Chrome の緊急アップデート：ワイルドに悪用されているゼロデイ脆弱性

Google pushes emergency Chrome update to fix zero-day used in attacks

2021/12/13 BleepingComputer — Google は、Chrome 96.0.4664.110 の Windows／Mac／Linux 用をリリースし、ワイルドに悪用されている深刻度の高いゼロデイ脆弱性に対応した。今日のセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2021-4102 をワイルドに悪用する事例があるという報告を認識している」と述べている。

Magnat マルウェア：バックドア／パスワード侵害を仕掛ける悪意の Chrome エクステンション

Magnat malvertising campaigns spreads malicious Chrome extensions, backdoors and info stealers

2021/12/06 SecurityAffairs — Talos の研究者たちが発見したのは、新しいバックドアと文書化されていない悪意の Google Chrome エクステンションを、ユーザーを騙してダウンロードさせるために、人気のアプリやゲームの偽インストーラー使用する、一連のマルバタイジング・キャンペーンである。

14種類の XS-Leaks 攻撃：Chrome／Edge／Safari／Firefox などに影響する

14 New XS-Leaks (Cross-Site Leaks) Attacks Affect All Modern Web Browsers

2021/12/06 TheHackerNews — 研究者たちは、Tor Browser／Mozilla Firefox／Google Chrome／Microsoft Edge／Apple Safari／Opera などの最新 Web ブラウザに関連する、14種類の新しいクロス・サイト (X S) データリーク攻撃を発見した。これらのバグは、 XS-Leaks と総称され、悪意の Web サイトを成立させるものだ。

Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト

Chrome 95 Update Patches Exploited Zero-Days, Flaws Disclosed at Tianfu Cup

2021/10/29 SecurityWeek — 木曜日に Google がリリースした Chrome 95 アップデートは、２つの積極的に悪用されているゼロデイ脆弱性と、先日に中国のハッキング・コンテストで公開された欠陥を修正するものだ。積極的に悪用されている脆弱性は、CVE-2021-38000 として追跡されており、Intents への信頼できない入力に対する不十分な検証の問題とされている。また、CVE-2021-38003 は、V8 JavaScript エンジンに影響をおよぼす不適切な実装の問題である。CVE-2021-38000 は９月に発見され、CVE-2021-38003は僅か３日前に確認されたものである。

Google Chrome の緊急アップデート：２つのゼロデイ脆弱性が悪用されている

Emergency Google Chrome update fixes zero-days used in attacks

2021/10/28 BleepingComputer — Google は、Windows／Mac／Linux 用の Chrome 95.0.4638.69 をリリースし、攻撃者に積極的に悪用されている２つのゼロデイ脆弱性を修正した。Google は、「CVE-2021-38000 および CVE-2021-38003 の悪用が、ワイルドに行われていることを認識している」と、本日にリリースされた Google Chrome のセキュリティ修正のリストで述べている。

悪意の Chrome 広告ブロック：自身のサイトへリダイレクトさせて利益を上げる手口

Malicious Chrome ad blocker injects ads behind the scenes

2021/10/14 BleepingComputer — 広告ブロック拡張機能を提供する AllBlock Chromium だが、開発者に報酬をもたらす隠れたアフィリエイト・リンクが注入されていることが判明した。このエクステンションは、現在も Chrome の Web ストアで販売されており、YouTube と Facebook に特化した広告ブロック機能により、ポップアップを防ぎ、ブラウジングを高速化すると宣伝している。

Google Chrome の更新：Ver 94.0.4606.81 で FIX した４つの脆弱性とは？

Google addresses four high-severity flaws in Chrome

2021/10/09 SecurityAffairs — Google Chrome for Windows／Mac／Linux に存在する、深刻度の高い４つの脆弱性に対するセキュリティ・アップデートが公開された。最も深刻な脆弱性は、CVE-2021-37977として追跡されており、ガベージ・コレクションにおける解放後メモリ使用の問題であり、任意のコード実行につながる可能性がある。この脆弱性は匿名の研究者から報告されたもので、Google は同氏に対して $10,000 の報奨金を授与した。

Google Chrome のゼロデイ脆弱性が FIX：９月は２回目 94.0.4606.71 へ

Google pushes emergency Chrome update to fix two zero-days

2021/09/30 BleepingComputer — Google は、すでに攻撃者に悪用されている、Chrome の２つのゼロデイ脆弱性を修正するために、Windows／Mac／Linux 用の 94.0.4606.71 をリリースした。Google は、「脆弱性 CVE-2021-37975 と CVE-2021-37976 のエクスプロイトが、ワイルドに悪用されていることを認識している」と、本日にリリースされたセキュリティ FIX リストで述べている。

Google Chrome にゼロデイ脆弱性：緊急アップデートが提供されている

Emergency Google Chrome update fixes zero-day exploited in the wild

2021/09/24 BleepingComputer — Google は、Chrome 94.0.4606.61 を Windows／Mac／Linux 用にリリースした。今回は。ワイルドに悪用されている、深刻度の高いゼロデイ脆弱性に対処するための緊急アップデートである。Google は、今日のセキュリティ・アドバイザリで、脆弱性 CVE-2021-37973 がワイルドに悪用されていることを認識していると、明らかにしている。

Google Chrome の２つのゼロデイ脆弱性が FIX

Google patches 10th Chrome zero-day exploited in the wild this year

2021/09/13 BleepingComputer — Google は、Chrome 93.0.4577.82 を Windows／Mac／Linux 向けにリリースし、11件のセキュリティ脆弱性を修正したが、そのうち２件はワイルドに悪用されているゼロデイである。Google は、「CVE-2021-30632 と CVE-2021-30633 のエクスプロイトが、ワイルドに存在することを認識している」と、Chrome の新バージョンのリリースノートで明らかにしている。

Google Chrome／Chromium で発見された Spook.js サイドチャネル攻撃とは？

Spook.js – New side-channel attack can bypass Google Chrome’s protections against Spectre-style exploits

2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。

Google Chrome のフィッシング検出が 50倍も高速化された

Google Chrome now comes with up to 50x faster phishing detection

2021/07/21 BleepingComputer — 火曜日に Stable Channel へと移行した Google Chrome 92 では、フィッシング・サイトの検出が最大で50倍まで高速化された。フィッシング・サイトの検出速度の向上は、Chrome の画像処理技術の改善によるものであり、訪れた Web サイトのカラー・プロファイルを、Phishing Landing Page に関連するシグナルのコレクションと比較している。

Google Chrome のゼロデイ・エクスプロイトが FIX

Google patches 8th Chrome zero-day exploited in the wild this year

2021/07/16 BleepingComputer — Google は、Chrome 91.0.4472.164 を Windows / Mac / Linux 向けにリリースし、7つの脆弱性を修正した。そのうちの１つは、すでに悪用されている、深刻度の高いゼロデイ脆弱性である。Google は、「脆弱性 CVE-2021-30563 の、エクスプロイトが存在するという報告を認識している」と明らかにしている。

Google Chrome 90 はディフォルト・プロトコルとして HTTPS を選ぶ

Google Chrome 90 released with HTTPS as the default protocol

2021/04/14 BleepingComputer — 2021年4月14日に Google Chrome 90 Desktop の Stable Channel Update がリリースされ、セキュリティの改善や、新しい AV1 エンコーダの提供に加え、デフォルト・プロトコルの HTTPS への変更などが実施された。

Google の FLoC は Cookie を置き換えられるのか？

Vivaldi, Brave, DuckDuckGo reject Google’s FLoC ad tracking tech

2021/04/14 BleepingComputer — 先月に Google は、Chrome ブラウザとアド・サービス・サイトのプライバシー保護に特化した、Federated Learning of Cohorts (FLoC) と呼ばれる新機能を展開する計画を発表した。

Chromium_based ブラウザにリモート・コード実行の脆弱性が

RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers

2021/04/12 TheHackerNews — インドのセキュリティ研究者である Rajvardhan Agarwal が、Google Chrome/Microsoft Edge/Opera/Brave といった Chromium ベース・ブラウザで、新たに発見された脆弱性に対する PoC（proof-of-concept) エクスプロイト・コードを公開した。この PoC エクスプロイトは、それらの Web ブラウザに搭載されている V8 JavaScript レンダリング・エンジンに存在する、リモート・コード実行の脆弱性を利用するものである。

Google Chrome の NAT Slipstreaming 対策で port 10080 が塞がれる

Google Chrome blocks port 10080 to stop NAT Slipstreaming attacks

2021/04/08 BleepingComputer — Google Chrome だが、NAT Slipstreaming 2.0 攻撃によるポートの悪用を防ぐため、HTTP/HTTPS/FTP による TCP Port 10080 へのアクセスをブロックすることになった。昨年に、セキュリティ研究者である Samy Kamkar が公開したのは、悪意の Web サイト上のスクリプトがビジターの NAT ファイアウォールを回避し、その内部ネットワーク上の任意のTCP/UDP ポートにアクセスする、NAT Slipstreaming における新たな脆弱性である。