Google Chromeにゼロデイ脆弱性

Google Chrome、Microsoft Edge、Opera、Yandexブラウザー、Vivaldi、Brave、およびその他のChromiumベースのブラウザを最新バージョンに更新する理由。

Googleは14日(現地時間)、Chromeブラウザーに重大な脆弱性が発見されたことを発表し、アップデートの適用を呼びかけています。先日のブログでは、Apple WebKit(iOSのSafariや他のブラウザのエンジン)に重大なバグがあるため、iOSおよびmacOSの更新が緊急に必要であることを強調したばかり。同様の脅威に対して、Google Chromeおよび関連ブラウザーにも迅速に更新を適用する必要があります。

「V8」の脆弱性

脆弱性CVE-2023-2033は、JavaScriptの処理に使用されるスクリプトエンジンV8で発見されました。これは、最近の投稿で説明したiOSおよびmacOSの脆弱性の発見に関与したGoogleの脅威分析グループ(TAG)の同じ研究者によって発見され、すでに悪用されたと報告されています。

Googleの標準ポリシーでは、ほとんどのユーザーがブラウザを更新するまで脆弱性の詳細を公開しないため、このセキュリティホールの詳細についてはまだ公表されていません。しかしGoogleは、この脆弱性を突いたエクスプロイトが既に存在すると明らかにしています

攻撃者が攻撃を成功させるためには、特別に作成された悪意のあるWebページに標的のユーザーを誘導する必要があります。これにより、攻撃者は標的のパソコンで任意のコードを実行できます。Safari WebKitで以前に発見された脆弱性と同様に、この脆弱性はゼロクリック攻撃を可能にします。つまり、サイバー犯罪者は、ユーザーが何らかのアクションを起こさずにデバイスを感染させることができます。危険なサイトを訪問させるだけで十分です。

この脆弱性は、Chromiumをベースとするすべてのデスクトップ版ブラウザーに存在することがわかっています。これは、Google Chrome自体だけでなく、Microsoft Edge、Opera、Yandex Browser、Vivaldi、Braveなども含まれます。また、Electronベースのアプリケーションにも影響を与える可能性があります。先に書いたように、このようなプログラムは、アプリケーションに組み込まれたChromiumブラウザで開くことができるWebページです。

自分自身を保護するには

コンピューターにインストールされているすべてのChromiumベースのブラウザを迅速に更新する必要があります。これを行う方法については、Googleのセキュリティに関するブログ(英語)を参照してください。要点をまとめると:

  • Google Chromeをバージョン0.5615.121に更新してください。

    セキュリティホールは、Google Chromeバージョン112.0.5615.121で修正されています

  • 他のChromiumベースのアプリケーションも直ちに更新してください。Microsoft Edgeをバージョン0.1722.48に更新するパッチはここで入手できます。VivaldiBraveのウェブサイトには、これらのブラウザ向けのパッチがすでにあります。
  • 更新後はブラウザを再起動してください。そうしなければ更新が適用されません。
  • また、すべてのElectronベースのアプリケーションも更新してください(それらのためのパッチは後日出現する可能性があります)。

そして、備えあれば憂いなし。修正が発表されていない、新しい脆弱性に対しても信頼できるアンチウイルスソフトを使ってデバイスを保護することを忘れないでください。

 

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?