Google は、Chrome Web ブラウザーのデスクトップ バージョンの緊急セキュリティ アップデートをリリースしました。
重大度の高い欠陥は CVE-2022-4135 として追跡されており、2022 年 11 月 22 日に Google の脅威分析グループの Clement Lecigne によって発見された GPU のヒープ バッファ オーバーフローです。
「Google は、CVE-2022-4135 のエクスプロイトが実際に存在することを認識しています」と更新通知を読みます。
ユーザーが Chrome のインストールにセキュリティ アップデートを適用するのに時間がかかるため、Google は悪意のある悪用の拡大を防ぐために脆弱性に関する詳細を差し控えています。
「大多数のユーザーが修正で更新されるまで、バグの詳細とリンクへのアクセスは制限されたままになる可能性があります。他のプロジェクトが同様に依存しているが、まだ修正されていないサードパーティのライブラリにバグが存在する場合も、制限を保持します. ” – グーグル
一般に、ヒープ バッファ オーバーフローはメモリの脆弱性であり、その結果、禁止された場所 (通常は隣接する場所) にチェックなしでデータが書き込まれます。
攻撃者は、ヒープ バッファ オーバーフローを使用してアプリケーションのメモリを上書きし、その実行パスを操作して、無制限の情報アクセスや任意のコードの実行を引き起こす可能性があります。
Chrome ユーザーは、Windows の場合はバージョン 107.0.5304.121/122 に、Mac と Linux の場合は 107.0.5304.122 にアップグレードすることをお勧めします。これにより、CVE-2022-4135 が解決されます。
Chrome を更新するには、[設定] → [Chrome について] → [最新バージョンのダウンロードが完了するのを待ちます] → [プログラムを再起動します] に進みます。
2022 年に実施される Chrome の 8 回目のゼロデイ修正
Chrome バージョン 107.0.5304.121/122 は、今年積極的に悪用された 8 番目のゼロデイ脆弱性を修正しており、広く使用されているブラウザに対する攻撃者の関心が高いことを示しています。
以前の 7 つのゼロデイ修正は次のとおりです。
- CVE-2022-3723 – 10 月 28 日
- CVE-2022-3075 – 9 月 2 日
- CVE-2022-2856 – 8 月 17 日
- CVE-2022-2294 – 7 月 4 日
- CVE-2022-1364 – 4 月 14 日
- CVE-2022-1096 – 3 月 25 日
- CVE-2022-0609 – 2 月 14 日
これらの欠陥は通常、標的を絞った攻撃でそれらを使用する高度なハッカーによって利用されます。
それにもかかわらず、すべての Chrome ユーザーは、潜在的な悪用の試みをブロックするために、できるだけ早く Web ブラウザーを更新することを強くお勧めします。
Comments