グーグル「Chrome 104」安定版リリース–27件の脆弱性を修正

今回は「グーグル「Chrome 104」安定版リリース–27件の脆弱性を修正」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間8月2日、「Chrome 104」の安定版を「Windows」「macOS」「Linux」向けに公開した。27件のセキュリティフィックスが含まれており、そのうちの10件は重要度が「高」(High)、17件は「中」(Medium)とされている。

 今回対処された脆弱性のうち、22件はサードパーティーによって報告されたものだ。

 活発に悪用されている脆弱性はないが、Chrome 104のリリースノートには深刻度の高い脆弱性に対処する複数の重要なフィックスが含まれている。これらはそれほど詳しく説明されていないものの、Chromeの「オムニボックス」(Omnibox:アドレスバー)や、オプションの有害ウェブサイト警告ツール「セーフブラウジング」(Safe Browsing)、ChromeにおけるWebGPU標準の実装である「Dawn」、「Chromebook」と「Android」デバイス間でファイルを共有するための「Nearby Share」機能(Appleの「AirDrop」に相当)の脆弱性に対処するものが含まれている。

 また、オーストリアのグラーツ工科大学(TU Graz)に所属するErik Kraft氏とMartin Schwarzl氏が発見した、Chromeのキーボード入力に影響を与える、サイドチャネルからの情報漏えい(重要度は「中」)という興味深い問題もある。なお、TU Grazのリサーチャーらは、2018年に問題となった、CPUに対するサイドチャネル攻撃である「Meltdown」と「Spectre」の発見で中心的な役割を果たした。

 Googleは、オムニボックスに潜んでいた「解放後のメモリー使用」に関する問題(共通脆弱性識別子CVE-2022-2603)について、匿名のリサーチャーに1万5000ドル(約200万円)を報奨金として支払った。

 Chromeのセーフブラウジングにも、重要度が「高」と評価された解放後のメモリー使用の問題(CVE-2022-2604)が含まれているほか、重要度が「中」と評価された、信頼できない入力に対する不十分な検証によって引き起こされる問題(CVE-2022-2622)が存在している。

 セーフブラウジングは、ユーザーが危険なウェブサイトにアクセスしたり、悪意のあるアプリケーションをダウンロードしようとした際に、警告を表示するツールであり、Chromeをはじめとする主要ブラウザーで採用されている。

 セーフブラウジング内に存在する重要度「高」の問題(CVE-2022-2604)は、奇虎360(Qihoo 360)の360 Alpha Labに所属するNan Wang氏とGuang Gong氏によって6月10日に報告された。両氏はこの他にもChromeの「Managed devices API」に存在している解放後のメモリー使用に関する重要度「高」の問題(CVE-2022-2606)と、Chromeの「WebUI」に存在している解放後のメモリー使用に関する重要度「中」の問題(CVE-2022-2620)について報告している。

 ChromeのNearby Share機能に存在する脆弱性も、解放後のメモリー使用に関する問題(CVE-2022-2609)だ。

 これらの脆弱性に関する詳細は明らかにされていない。というのもGoogleは、「大多数のユーザーが修正アップデートを適用するまで」リリースノートでの脆弱性の詳細開示を制限しているためだ。また、他のプロジェクトが依存しているサードパーティーのライブラリーに問題が存在しているものの、まだ対応されていないという場合も、詳細の開示を制限するとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
コロナ禍でも8割が「紙」で契約締結、「ハンコ出社」7割が経験–Sansan調査
IT関連
2022-04-26 17:00
「マネーフォワード IT管理クラウド」、電子契約サービス「freeeサイン」と連携
IT関連
2022-03-15 18:33
意外に現役? 家庭のFAX 普及率3割、TVゲーム機より上 最近買った人の理由は…… (1/3 ページ)
ネットトピック
2021-08-12 16:03
日立Sol、米o9 Solutionsと販売代理店契約を締結–AIで製造業の需要予測や計画最適化を支援
IT関連
2024-07-25 09:53
Colt、東南アジア6カ国で事業を拡大–包括的なネットワークサービスを提供
IT関連
2024-06-07 07:17
スパコンが着実に進化、「線状降水帯」の発生予測など最新の動向を追う
IT関連
2023-04-18 16:19
【レビュー】Galaxy S22 Ultra、サムスンのファブレットNoteは永遠の眠りにつき「Ultra」として生まれ変わる
IT関連
2022-02-11 18:48
アマゾンのCO2排出量、2021年に18%増加–コロナ禍の事業急拡大で
IT関連
2022-08-03 20:57
ソーシャルゲーム用動画インフラの構築を目指すPowderが14.5億円を調達
ゲーム / eSports
2021-02-12 09:04
「暗黙の信頼はハイリスク」–ソフォスがZTNA製品を提供
IT関連
2022-02-11 01:25
製品を3つのソリューションに集約–インサイトテクノロジー、2021年度の戦略語る
IT関連
2021-04-22 00:34
OpenAI、EUの新AI規制に難色–順守できなければ事業停止も
IT関連
2023-05-27 10:42
COBOLの利用、従来予測の約3倍との調査結果
IT関連
2022-02-12 16:04
Google CloudのPrometheusマネージドサービスが正式版に。6京5000兆のポイントを保持するバックエンド上に構築、事実上無限の指標に対応可能
Google
2022-03-09 12:09