グーグル、「Chrome」の深刻な脆弱性を修正

今回は「グーグル、「Chrome」の深刻な脆弱性を修正」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間12月2日、「Chrome」ブラウザーに潜んでいた極めて深刻な脆弱性に対処するセキュリティアップデートを公開した。

 デスクトップ版Chromeの安定チャネルで、「Windows」向けにバージョン108.0.5359.94/.95、「macOS」「Linux」向けに108.0.5359.94を公開している。できる限り早急に適用することが推奨される。

 今回のアップデートで対処されるのは「CVE-2022-4262」という、重要度が「高」(High)に分類されている脆弱性だ。攻撃者はこの脆弱性、すなわち同社の「V8」JavaScriptエンジンに存在する型混乱(Type Confusion)の問題を悪用することで、巧妙に細工したHTMLページを使って遠隔地からヒープ領域の破損を引き起こせるようになる。

 「ヒープ領域」とは、プログラムが可変量のデータを格納できるよう、起動時にあらかじめ確保されるメモリー領域のことだ。プログラム上の過ちや考慮不足などでヒープ領域に対するビューが破壊されてしまった場合、ヒープ領域の破損が引き起こされ、攻撃者が悪用できるメモリーエラーが発生する。

 Googleは、現時点でCVE-2022-4262に対するエクスプロイトが実際に確認されていると述べている。つまりこの脆弱性は、サイバー犯罪者による悪意あるハッキングキャンペーンを実行するために現時点で活発に悪用されている可能性がある。しかし同社は、保護策の提供前に悪用方法が他の攻撃者らに知られないよう、具体的な手段については当面明らかにしないとも述べた。

 「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正を適用するまで制限される見込みだ。また、他のプロジェクトが依存しているサードパーティーライブラリー内にこのバグが修正されずに残っている場合にも制限を維持する」(同社)

 この脆弱性は、Googleの脅威分析グループ(Threat Analysis Group:TAG)のClement Lecigne氏によって発見された。Chromeではこの最新の脆弱性の他、数々のセキュリティ上の不具合が2022年に発見され、パッチが適用されている。

 その中には、11月下旬に発見された時点で活発に悪用されていた脆弱性「CVE-2022-4135」や、9月に発覚したセキュリティ不具合、7月に確認された一連の重大な脆弱性が含まれる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
セキュリティで問題なのはテクノロジーではなく教育–ソフォス調査
IT関連
2022-04-30 15:43
第4回:「休眠顧客(失注顧客)を掘り起こす」シナリオの考え方
IT関連
2021-05-24 00:16
NASAがSpaceXの商業乗員輸送契約を延長、3ミッション追加で約1036億円
IT関連
2022-03-03 11:57
日本の宇宙企業ispaceの月着陸船がカナダ宇宙庁とJAXAからペイロード輸送を受託
宇宙
2021-05-29 09:38
シスコ、DX推進の新戦略に基づきパートナープログラムを刷新
IT関連
2021-01-27 13:19
ビジネスにおける戦略・議題に関するサイバーセキュリティの優先度は高くない–パロアルトネットワークス調査
IT関連
2022-12-20 22:27
マイクロソフト、「Windows 11」を発表–デザイン一新、Androidアプリも動作可能に
IT関連
2021-06-25 00:29
Epic Gamesのデジタルヒューマン作成ツール、早期アクセス開始 編集済みモデルも公開
イラスト・デザイン
2021-04-17 11:44
アクセシビリティを重視したオープンソースの新デザインシステムをOktaがローンチ
ネットサービス
2021-02-06 07:40
AirTagで子どもやペットを追跡しないで Apple幹部語る
IT関連
2021-04-24 17:30
NTT副社長、渋谷直樹氏 震災の経験を経営に生かす
IT関連
2021-03-16 19:07
デジタル庁、協力覚書の取り交わしに「Adobe Acrobat Sign」採用–使いやすさが決め手に
IT関連
2022-06-25 11:35
NASA、エウロパ探査はSpaceXの「Falcon Heavy」で
企業・業界動向
2021-07-27 03:13
ツイッターがユーザーの手を借りた新ファクトチェック機能「バードウォッチ」の試験運用開始
ネットサービス
2021-06-05 19:43