グーグル、「Chrome」の深刻な脆弱性を修正

今回は「グーグル、「Chrome」の深刻な脆弱性を修正」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間12月2日、「Chrome」ブラウザーに潜んでいた極めて深刻な脆弱性に対処するセキュリティアップデートを公開した。

 デスクトップ版Chromeの安定チャネルで、「Windows」向けにバージョン108.0.5359.94/.95、「macOS」「Linux」向けに108.0.5359.94を公開している。できる限り早急に適用することが推奨される。

 今回のアップデートで対処されるのは「CVE-2022-4262」という、重要度が「高」(High)に分類されている脆弱性だ。攻撃者はこの脆弱性、すなわち同社の「V8」JavaScriptエンジンに存在する型混乱(Type Confusion)の問題を悪用することで、巧妙に細工したHTMLページを使って遠隔地からヒープ領域の破損を引き起こせるようになる。

 「ヒープ領域」とは、プログラムが可変量のデータを格納できるよう、起動時にあらかじめ確保されるメモリー領域のことだ。プログラム上の過ちや考慮不足などでヒープ領域に対するビューが破壊されてしまった場合、ヒープ領域の破損が引き起こされ、攻撃者が悪用できるメモリーエラーが発生する。

 Googleは、現時点でCVE-2022-4262に対するエクスプロイトが実際に確認されていると述べている。つまりこの脆弱性は、サイバー犯罪者による悪意あるハッキングキャンペーンを実行するために現時点で活発に悪用されている可能性がある。しかし同社は、保護策の提供前に悪用方法が他の攻撃者らに知られないよう、具体的な手段については当面明らかにしないとも述べた。

 「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正を適用するまで制限される見込みだ。また、他のプロジェクトが依存しているサードパーティーライブラリー内にこのバグが修正されずに残っている場合にも制限を維持する」(同社)

 この脆弱性は、Googleの脅威分析グループ(Threat Analysis Group:TAG)のClement Lecigne氏によって発見された。Chromeではこの最新の脆弱性の他、数々のセキュリティ上の不具合が2022年に発見され、パッチが適用されている。

 その中には、11月下旬に発見された時点で活発に悪用されていた脆弱性「CVE-2022-4135」や、9月に発覚したセキュリティ不具合、7月に確認された一連の重大な脆弱性が含まれる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
楽天モバイル、iPhone 12と「AirTag」の取り扱い開始 4月23日から受け付け
企業・業界動向
2021-04-23 09:03
AI inside、AIモデル開発サービスを強化–少ない画像でも精度の高い学習
IT関連
2022-03-02 01:04
医療・製薬研究機関向けに医療データ分析SaaS「SelfBase」を提供するテックドクターが1億円調達
ヘルステック
2021-05-12 17:50
iPS細胞で犬をはじめ動物再生医療に取り組む、日本大学・慶應義塾大学発「Vetanic」が総額1.5億円を調達
バイオテック
2021-07-16 19:46
IT/AIを新たな成⻑ドライバーに–富士フイルムBI・浜社長
IT関連
2025-01-10 14:22
DenoがプライベートなnpmレジストリやgRPCに対応、Node.js互換度向上でNext.jsアプリの実行も可能に。Deno 1.44で
Deno
2024-06-04 11:01
クラウドセキュリティの穴を塞ぐ–一般的な攻撃手法と防衛手段
IT関連
2022-06-18 15:41
気になる給与や感想–「Python」開発者を目指すなら知っておきたいポイント
IT関連
2021-05-22 03:26
日経平均反発、出遅れ「世界景気敏感株」として外国人が買い戻し
IT関連
2021-05-31 14:19
Cloudflare、Workers KVの更新に失敗し障害発生。しかも復旧用ツールがWorkers KVに依存しており使えず、手動で緊急対応
Cloudflare
2023-11-07 21:30
「Vine Linux」リリース終了 1998年誕生、国産Linuxディストリビューションの先駆け
ネットトピック
2021-05-09 07:40
「データ管理のためのAI」と「AIのためのデータ管理」を支援–インフォマティカ・ジャパンの渡邉社長
IT関連
2023-12-28 23:51
OpenAI、「ChatGPT」のAPIを提供開始–アプリへの組み込みが容易に
IT関連
2023-03-03 01:17
英警察、ハッキング集団「LAPSUS$」関与の若者逮捕か
IT関連
2022-03-29 15:12