Googleは米国時間12月2日、「Chrome」ブラウザーに潜んでいた極めて深刻な脆弱性に対処するセキュリティアップデートを公開した。
デスクトップ版Chromeの安定チャネルで、「Windows」向けにバージョン108.0.5359.94/.95、「macOS」「Linux」向けに108.0.5359.94を公開している。できる限り早急に適用することが推奨される。
今回のアップデートで対処されるのは「CVE-2022-4262」という、重要度が「高」(High)に分類されている脆弱性だ。攻撃者はこの脆弱性、すなわち同社の「V8」JavaScriptエンジンに存在する型混乱(Type Confusion)の問題を悪用することで、巧妙に細工したHTMLページを使って遠隔地からヒープ領域の破損を引き起こせるようになる。
「ヒープ領域」とは、プログラムが可変量のデータを格納できるよう、起動時にあらかじめ確保されるメモリー領域のことだ。プログラム上の過ちや考慮不足などでヒープ領域に対するビューが破壊されてしまった場合、ヒープ領域の破損が引き起こされ、攻撃者が悪用できるメモリーエラーが発生する。
Googleは、現時点でCVE-2022-4262に対するエクスプロイトが実際に確認されていると述べている。つまりこの脆弱性は、サイバー犯罪者による悪意あるハッキングキャンペーンを実行するために現時点で活発に悪用されている可能性がある。しかし同社は、保護策の提供前に悪用方法が他の攻撃者らに知られないよう、具体的な手段については当面明らかにしないとも述べた。
「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正を適用するまで制限される見込みだ。また、他のプロジェクトが依存しているサードパーティーライブラリー内にこのバグが修正されずに残っている場合にも制限を維持する」(同社)
この脆弱性は、Googleの脅威分析グループ(Threat Analysis Group:TAG)のClement Lecigne氏によって発見された。Chromeではこの最新の脆弱性の他、数々のセキュリティ上の不具合が2022年に発見され、パッチが適用されている。
その中には、11月下旬に発見された時点で活発に悪用されていた脆弱性「CVE-2022-4135」や、9月に発覚したセキュリティ不具合、7月に確認された一連の重大な脆弱性が含まれる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」