先週、Google は 32 億人のすべての Chrome ユーザーを対象に緊急セキュリティ アップデートをリリースし、実際に活発に悪用されている重大度の高いゼロデイ脆弱性に対処しました。
Google は、Windows、Mac、Linux システム向けに新しい Chrome バージョン 112.0.5615.121 を緊急アップデートとして公開しました。これは、ウェブブラウザ深刻です。
バージョン 112.0.5615.121 への Chrome 緊急アップデートは、セキュリティ上の欠陥を 1 つだけ修正するという点でユニークです。そのため、ユーザーはできるだけ早く Chrome ブラウザにアップデートを適用し、攻撃の試みをブロックすることが求められます。
このゼロデイ脆弱性は、2023 年 4 月 11 日に Google の脅威分析グループ (TAG) の Clément Lecigne によって Google に提出されました。
でChrome 安定チャンネル更新のお知らせ2023 年 4 月 14 日に公開されたデスクトップ向けについて、Google は「CVE-2023-2033 のエクスプロイトが実際に存在することを認識している」ことを認めています。
CVE-2023-2033 とは何ですか?
現段階で Google は、セキュリティ アップデート CVE-2023-2033 が「V8 の型の混乱」であること以外、正確な詳細を公表していません。これは、Chrome で採用されている JavaScript エンジンを指します。
型混同エラーは、プログラムが 1 つの型のメソッドを使用して、型を使用してリソース、オブジェクト、または変数を割り当てた後、互換性のない別の型メソッドを使用してそのリソースにアクセスし、その結果、境界外のメモリ アクセスが発生した場合に発生します。
この脆弱性により、リモートの攻撃者が細工された HTML ページを介してヒープ破損を悪用できる可能性があると述べています。CVEページ。
検索大手は、「大多数のユーザーが修正プログラムを更新するまで、バグの詳細とリンクへのアクセスは制限されたままになる可能性がある」と述べた。言い換えれば、Googleは予防措置として、緊急アップデートによってChromeの32億人のユーザーのほとんどを保護できるようになるまで、脆弱性の技術的な詳細を公開しないということだ。
また、「他のプロジェクトも同様に依存しているがまだ修正されていないサードパーティのライブラリにバグが存在する場合にも、制限を維持する」と述べた。
Web ブラウザは新しいアップデートを自動的にチェックしますが、Chrome の右上隅にある 3 点メニューに移動し、[ヘルプ]、[Chrome について] の順にクリックして、新しいアップデートをチェックすることもできます。
Google Chrome のセキュリティ パッチは、今後数日から数週間以内にすべての Chrome ユーザーに公開される予定です。
Googleは、この脆弱性について同社に通知したセキュリティ研究者に感謝した。 「また、セキュリティバグが安定したチャネルに到達するのを防ぐために、開発サイクル中に協力してくれたすべてのセキュリティ研究者に感謝したいと思います」と同社は述べた。
