Google Chromeに3つの脆弱性

Google  Chromeに対する緊急アップデートがGoogleより公開されました。これはCVE-2021-37974、CVE-2021-37975、CVE-2021-37976という3つの脆弱性を修正するアップデートです（リンク先はいずれも英語）。Googleは、このうち1つの深刻度は「緊急」、残り2つは「重要」であるとしています。

Googleによると、3つのうち2つはすでにサイバー犯罪者によって悪用されています。したがって同社は、Chromeを直ちにバージョン94.0.4606.71にアップデートするように促しています。これらの脆弱性は、Chrome だけでなくChromiumベースのブラウザーにも影響します。Microsoftでは、Edgeをバージョン94.0.992.38へアップデートすることを推奨しています。

これらのGoogle Chromeの脆弱性が危険である理由

CVE-2021-37974とCVE-2021-37975は、解放済みメモリ使用（Use-After-Free）の脆弱性です。ヒープメモリを不適切に使用することで、標的コンピューター上で任意コードを実行可能となります。

CVE-2021-37974は、安全ではないWebサイトや安全ではないダウンロードについて警告するGoogle Chromeのサブシステム「Safe Browsing」に関連します。CVSS v3.1スコアは、7.7（重要）となっています（最大値は10）。

CVE-2021-37975は、ChromeのJavaScriptエンジン「V8」で見つかりました。この脆弱性のCVSS v3.1スコアは8.4と、3つの脆弱性のうち最も高く、深刻度は「緊急」です。正体不明のサイバー犯罪者が、この脆弱性をすでに利用しています。

CVE-2021-37976は、Google Chromeのコアに起因するデータ漏洩の脆弱性です。こちらの深刻度は他の2つに比べて若干低く、CVSS v3.1スコアは7.2（重要）ですが、こちらもすでにサイバー犯罪者によって悪用されています。

これらの脆弱性をサイバー犯罪者はどのように悪用するのか

この3つの脆弱性を悪用するには、悪意あるWebサイトを作成する必要があります。攻撃者はエクスプロイトを埋め込んだWebサイトを作成し、そこへ人々を誘導します。アップデートが適用されていないChromeを使用している人がこのWebサイトにアクセスすると、解放済みメモリ使用の脆弱性（CVE-2021-37974およびCVE-2021-37975）を利用するエクスプロイトにより、その人のコンピューター上で任意のコードを実行可能となり、結果としてそのコンピューターのセキュリティは侵害されます。また、CVE-2021-37976を悪用することで、攻撃者は被害者の機密情報にアクセス可能となります。

Googleからは、大半の利用者がアップデートを適用した後で、脆弱性に関するさらなる情報が公開されるものと思われます。実際に攻撃が行われていることから、アップデートを今すぐ適用することをお勧めします。

対策

何よりもまず、インターネット接続するデバイスすべてで、ブラウザーをアップデートしましょう。ブラウザーが再起動されたときにアップデートが自動的にインストールされている可能性もありますが、人によってはブラウザーを長時間立ち上げたままにしていることがあるので、今すぐブラウザーのバージョンを確認してください。バージョンを確認するには、Chrome画面の右上隅にある3つの点が縦に並んだアイコンをクリックし、表示されたメニューから［ヘルプ］-［Google Chromeについて］の順に選択します。ブラウザーが最新バージョンではない場合は、自動的にアップデートが始まります。

追加の対策として、インターネット接続するデバイスすべてにセキュリティ製品をインストールすることをお勧めします。こうすることで、最新版のブラウザーを使用していないときに攻撃に遭った場合でも、プロアクティブな保護テクノロジーによって、脆弱性が悪用される可能性を最小限に抑えることができます。

同様に、企業の情報セキュリティ部門の皆様には、社内全デバイスにセキュリティソリューションを導入し、セキュリティアップデート状況の監視、アップデートの自動配布、システムのコントロールを実施することをお勧めします。また、ブラウザーアップデートのインストールを優先させるのも合理的な判断でしょう。