Google patches another actively exploited Chrome zero-day

Google は、今年攻撃で悪用されたことが判明した 2 つ目のゼロデイ脆弱性を修正するために、Chrome Web ブラウザのセキュリティ アップデートをリリースしました。

「Google は、CVE-2023-2136 のエクスプロイトが実際に存在することを認識しています」と同社のセキュリティ速報を読みます。

新しいバージョンは 112.0.5615.137 で、合計 8 つの脆弱性が修正されています。安定版リリースは Windows と Mac ユーザーのみが利用でき、Linux バージョンは「間もなく」公開されると Google は述べています。

積極的に悪用されているセキュリティ問題に対処する最新バージョンへの Chrome 更新手順を手動で開始するには、Chrome 設定メニュー (右上隅) に移動し、[ヘルプ] → [Google Chrome について] を選択します。

それ以外の場合、ユーザーの介入を必要とせずに、ブラウザの次回起動時に更新がインストールされます。更新を完了するには、アプリケーションを再起動する必要があります。

クロームのアップデート

悪用の詳細なし

CVE-2023-2136 は、C++ で記述された、Google が所有するオープンソースのマルチプラットフォーム 2D グラフィックス ライブラリである Skia における重大度の高い整数オーバーフローの脆弱性です。

Skia は、グラフィックス、テキスト、図形、画像、およびアニメーションをレンダリングするための一連の API を Chrome に提供し、ブラウザーのレンダリング パイプラインの重要なコンポーネントと見なされます。

整数オーバーフロー バグは、操作の結果、特定の整数型の最大値を超える値が発生した場合に発生し、多くの場合、予期しないソフトウェアの動作やセキュリティへの影響につながります。

Skia のコンテキストでは、不正なレンダリング、メモリの破損、および不正なシステム アクセスにつながる任意のコードの実行につながる可能性があります。

この脆弱性は、今月初めに Google の Threat Analysis Group (TAG) の Clément Lecigne によって報告されました。

Chrome で積極的に悪用された欠陥を修正する際の標準的な慣行に従って、Google は攻撃で CVE-2023-2136 がどのように使用されたかについて多くの詳細を開示しておらず、悪用方法と関連するリスクを推測する余地を残しています。

これは、脅威アクターが独自のエクスプロイトを開発できるようにする可能性のある技術的な詳細を共有する前に、ユーザーがソフトウェアをより安全なバージョンに更新できるようにするためです。

「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正プログラムで更新されるまで制限されたままになる可能性があります」と、 セキュリティ速報を読みます。

「他のプロジェクトが同様に依存しているが、まだ修正されていないサードパーティのライブラリにバグが存在する場合も、制限を保持します」 – Google

先週の金曜日、Google はCVE-2023-2033 を修正する別の緊急 Chrome アップデートをリリースしました。CVE-2023-2033 は、2023 年に発見されたブラウザで最初に積極的に悪用された脆弱性です。

これらの欠陥は通常、政府、メディア、またはその他の重要な組織で働く著名な個人を標的とする高度な脅威アクターによって利用されます。そのため、すべての Chrome ユーザーが利用可能なアップデートをできるだけ早く適用することをお勧めします。