Googleは、ウェブブラウザChromeのセキュリティアップデートをリリースしました。その中には、実世界で悪用されたゼロデイ脆弱性に対処するパッチも含まれています。
CVE-2021-30563として追跡されたゼロデイは、JavaScriptコードの実行および解釈を担当するChromeブラウザのコンポーネントであるV8の「タイプコンフュージョン」バグと説明されています。
https://cwe.mitre.org/data/definitions/843.html
この脆弱性がいつ、どこで、どのようにして悪用されたのか、その詳細は公表されていません。
Chromeユーザーは、ブラウザをアップデートし、今回のゼロデイが修正されたバージョンであるChrome v91.0.4472.164を使用していることを確認ください。
今年パッチが適用された過去7つのゼロデイは以下の通りです。
- CVE-2021-21148 – Chrome 88.0.4324.150、2021年2月4日。
- CVE-2021-21166 – Chrome 89.0.4389.72、2021年3月2日にリリース。
- CVE-2021-21193 – クローム 89.0.4389.90、2021 年 3 月 12 日。
- CVE-2021-21220 – Chrome 89.0.4389.128、2021年4月13日リリース。
- CVE-2021-21224 – クローム 90.0.4430.85、2021年4月20日。
- CVE-2021-30551 – クローム 91.0.4472.101、2021 年 6 月 9 日。
- CVE-2021-30554 – クローム 91.0.4472.114、2021年6月17日。
また、今回のパッチはGoogleがCVE-2021-21166とCVE-2021-30551の技術的な詳細を追加したレポートを公開したことを受けたものです。
How we protect users from 0-day attacks
Google’s Threat Analysis Group (TAG) actively works to detect hacking attempts and influence operations to protect users...
blog.google
Google Threat Analysis Group(Google TAG)によると、これらのゼロデイは世界各国の政府に攻撃的なハッキングツールを販売しているイスラエルのセキュリティ企業が開発したものです。Google TAGによるとアルメニアの標的に対してこの2つのゼロデイが使用されたケースが検出されたとのことです。
Comments