GoogleはユーザーにChromeの緊急更新を直ちにインストールするよう警告

先週、Googleは全ての32億人のChromeユーザーに対して、高度な深刻度のゼロデイ脆弱性に対処するための緊急セキュリティ更新をリリースしました。この脆弱性は実際に悪用されています。

Googleは、Windows、Mac、Linuxシステム向けに新しいChromeバージョン112.0.5615.121を緊急更新として展開しました。これは、ウェブブラウザのセキュリティ問題が深刻であることを意味します。

バージョン112.0.5615.121への緊急Chrome更新はユニークで、単一のセキュリティ欠陥のみを修正します。その結果、ユーザーはできるだけ早くChromeブラウザに更新を適用し、攻撃の試みをブロックするよう促されています。

このゼロデイ脆弱性は、2023年4月11日にGoogleの脅威分析グループ（TAG）のClément LecigneによってGoogleに提出されました。

デスクトップ向けのChrome安定版チャンネル更新のお知らせは、2023年4月14日に公開され、Googleは「CVE-2023-2033の悪用が実際に存在することを認識している」と確認しています。

CVE-2023-2033とは何ですか？

現時点で、Googleはセキュリティ更新であるCVE-2023-2033について、V8における「型の混乱」であること以外の具体的な詳細を公表していません。これは、Chromeが使用するJavaScriptエンジンを指します。

型の混乱エラーは、プログラムがリソース、オブジェクト、または変数を型を使用して割り当てるために一つのタイプのメソッドを使用し、その後異なる互換性のないタイプのメソッドを使用してそのリソースにアクセスする際に発生し、境界外メモリアクセスを引き起こします。

この脆弱性により、リモート攻撃者が作成されたHTMLページを介してヒープの破損を悪用する可能性があるとCVEページは述べています。

検索大手は「バグの詳細とリンクへのアクセスは、ユーザーの大多数が修正を受けるまで制限される可能性があります」と述べました。言い換えれば、予防措置として、Googleは緊急更新がChromeの32億人のユーザーの大多数を保護できるまで、脆弱性の技術的詳細を開示しないということです。

また、「他のプロジェクトが依存しているが、まだ修正されていないサードパーティライブラリにバグが存在する場合、制限を維持します」とも述べています。

ウェブブラウザは自動的に新しい更新をチェックしますが、Chromeの右上隅にある三点メニューに移動し、「ヘルプ」をクリックし、「Chromeについて」を選択することで、新しい更新を手動で確認することもできます。

Google Chromeのセキュリティパッチは、今後数日または数週間のうちに全てのChromeユーザーに展開される予定です。

Googleは、脆弱性について会社に通知したセキュリティ研究者に感謝の意を表しました。「セキュリティバグが安定版チャンネルに到達しないように、開発サイクル中に私たちと協力してくれた全てのセキュリティ研究者にも感謝したい」と同社は述べています。