Google Chromeに重大な脆弱性(CVE-2021-21148)が見つかりました(リンク先は英語)。サイバー犯罪者による悪用が報告されているため、すぐに対応することをお勧めします。主なデスクトップOS(Windows、MacOS、Linux)向けのChromeすべてに脆弱性があります。
CVE-2021-21148が危険である理由
これはヒープオーバーフローの脆弱性で、デバイス上でのリモートコード実行を許す可能性があります(英語記事)。この脆弱性の悪用は、悪意あるWebページを作成して標的をそのページへ誘導するだけというシンプルさです。悪用の結果、サイバー攻撃者が、脆弱性の影響を受けるシステムを完全に掌握可能となる可能性があります。
脆弱性を持つコンポーネントは、ブラウザーに組み込まれたJavaScript V8エンジンです。GoogleがセキュリティリサーチャーのMattias Buelens 氏から脆弱性に関する情報を受け取ったのが1月24日、同社が本件の修正を含むアップデートを公開したのは2月4日のことでした。Googleは、不特定のハッカーがCVE-2021-21148を積極的に悪用しているとの報告を認識しています。
ZDnetの記事(英語)を見たところでは、この脆弱性は、最近サイバーセキュリティコミュニティに対して北朝鮮が行ったハッカー攻撃と関連性があるかもしれません。少なくとも、その攻撃のパターンはCVE-2021-21148の悪用手順と高い類似性を示しており、この脆弱性の見つかった日とセキュリティコミュニティに対する攻撃が公になった日とが近接している事実があります。しかし、この説の直接的な裏付けは今のところありません。
Googleは、Chrome利用者の大部分がアップデートを済ませるまでは技術的詳細の公開を控えるとしています。脆弱性に関する情報公開を誤れば攻撃の増加につながりかねないことを考えると、これは当然の判断でしょう。
対策
- デスクトップ版のGoogle Chromeをすぐにアップデートしてください。ブラウザー画面の右上にある三点リーダーアイコンをクリックし、[設定]- [Chromeについて]の順に選択すると、開いたページでアップデートが自動的に開始します。
- 再起動を促された場合は、[再起動]ボタンをクリックして再起動を行ってください。複数のタブを開いた状態でボタンをクリックしても大丈夫です。最近のバージョンのChromeは、再起動した場合や予期せず終了した場合に、開いていたタブを復元できます。
- [Chromeについて]のページに表示されているChromeのバージョンが0.4324.150である場合は、すでに最新バージョンになっているのでアップデートの必要はありません。