Google Chromeブラウザを直ちに更新して新しいゼロデイ脆弱性を修正

Googleは月曜日にChromeブラウザのセキュリティアップデートを展開し、セキュリティ、安定性、パフォーマンスの改善を修正しました。これにはゼロデイ脆弱性が含まれています。この問題はWindows、Mac、AndroidのChromeに影響を与えます。

Windows用のChromeはバージョン103.0.5060.114に更新され、4つのセキュリティ修正が含まれています。そのうちの3つは、外部研究者によって報告されたもので、Googleによって強調されています：

• 高 CVE-2022-2294: WebRTCにおけるヒープバッファオーバーフロー。2022-07-01にAvast Threat IntelligenceチームのJan Vojtesekによって報告されました。

• 高 CVE-2022-2295: V8における型混乱。2022-06-16にS.S.L.のavaueとBuff3ttsによって報告されました。

• 高 CVE-2022-2296: Chrome OS Shellにおける使用後解放。2022-05-19にKhalil Zhaniによって報告されました。

高危険度の脆弱性（CVE-2022-2294）は、WebRTCに存在するヒープバッファオーバーフローバグです。これはブラウザにリアルタイム通信機能を提供するエンジンです。この脆弱性が悪用されると、サービス拒否攻撃や、場合によってはデスクトップ上での任意のコード実行を許可する可能性があり、ハッカーにPCへの完全なアクセスを与える可能性があります。

「GoogleはCVE-2022-2294の悪用が実際に存在することを認識しています」と、Googleの月曜日のWindows向けセキュリティアドバイザリーによります。「安定版チャネルはWindows用に103.0.5060.114に更新され、今後数日/数週間で展開されます。」

Googleは、ユーザーの大多数が修正を受け取るまで、悪用や脆弱性の詳細を公開しないと述べています。また、他のプロジェクトが依存しているサードパーティライブラリにバグが存在する場合、修正されていない限り制限を保持する可能性があります。

ゼロデイバッファオーバーフローフラウを修正することに加えて、Googleは月曜日にV8 JavaScriptエンジンにおける型混乱バグ（CVE-2022-2295）とChrome OS Shellにおける使用後解放フラウ（CVE-2022-2296）を修正するパッチもリリースしました。

Windows用のChromeに加えて、CVE-2022-2294およびCVE-2022-2295のためにChrome for Androidバージョン103.0.5060.71でも修正がリリースされました。さらに、Chrome Extended StableチャネルはWindowsおよびMac用にCVE-2022-2294を修正するために102.0.5005.148に更新されました。

WindowsまたはMacでChromeを使用している場合は、できるだけ早くブラウザを更新することをお勧めします。更新が利用可能かどうかを確認するには、Chromeウィンドウの右上にある3点メニューをクリックし、Chromeメニュー > ヘルプ > Google Chromeについてに移動するか、ブラウザにchrome://settings/helpと入力してChromeページを開きます。

このアップデートにより、Googleは2022年における4つ目のChromeゼロデイ脆弱性に対処しました。これには2月（CVE-2022-0609）、3月（CVE-2022-1096）、および4月（CVE-2022-1364）が含まれます。