Google は、攻撃に悪用されることが知られている 1 つの脆弱性に対処するために、Chrome デスクトップ Web ブラウザの緊急セキュリティ アップデートをリリースしました。
重大度の高い脆弱性 (CVE-2022-3723) は、Avast のアナリストによって発見され、Google に報告された、Chrome V8 Javascript エンジンのタイプ混乱バグです。
「Google は、CVE-2022-3723 のエクスプロイトが実際に存在するという報告を認識しています」と通知を強調しています。
同社は、セキュリティ上の理由から脆弱性に関する多くの詳細を提供していません。これにより、Chrome のユーザー ベースは、問題に対処するバージョン 107.0.5304.87/88 に Web ブラウザーを更新するのに十分な時間を確保できます。
「大多数のユーザーが修正で更新されるまで、バグの詳細とリンクへのアクセスは制限されたままになる可能性があります」とGoogle は述べています.
「他のプロジェクトが同様に依存しているが、まだ修正されていないサードパーティのライブラリにバグが存在する場合も、制限を保持します。」
一般に、型の混乱の脆弱性は、プログラムが型を使用してリソース、オブジェクト、または変数を割り当て、次に互換性のない別の型を使用してそれらにアクセスし、範囲外のメモリ アクセスが発生する場合に発生します。
アプリケーションのコンテキストからアクセスできないメモリ領域にアクセスすることで、攻撃者は他のアプリの機密情報を読み取ったり、クラッシュを引き起こしたり、任意のコードを実行したりする可能性があります。
Google は、実際に存在するエクスプロイトが関与する活動のレベルを明らかにしていないため、CVE-2022-3723 を使用した攻撃が広範囲に及ぶか限定的であるかは、現時点では不明です。
Chrome ユーザーは、[設定] → [Chrome について] → [ダウンロードが完了するのを待つ] → [プログラムを再起動] を開いてブラウザを更新できます。
今年 7 回目の Chrome ゼロデイ修正
バージョン 107.0.5304.87/88 では、年初から修正された 7 番目のゼロデイ脆弱性が修正されています。
前の 6 つは次のとおりです。
- CVE-2022-3075 – 9 月 2 日
- CVE-2022-2856 – 8 月 17 日
- CVE-2022-2294 – 7 月 4 日
- CVE-2022-1364 – 4 月 14 日
- CVE-2022-1096 – 3 月 25 日
- CVE-2022-0609 – 2 月 14 日
CVE-2022-0609 のように、Google が発見してパッチを適用するまでの数週間、国家が支援する攻撃者によって脆弱性が悪用されたケースもあります。
そのため、Chrome ユーザーは、エクスプロイトの試みをブロックするために、できるだけ早く Web ブラウザーを更新することを強くお勧めします。
Comments