「Chrome」に新たなゼロデイ脆弱性、グーグルが修正–「Edge」にも影響

今回は「「Chrome」に新たなゼロデイ脆弱性、グーグルが修正–「Edge」にも影響」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Googleのブラウザー「Chrome」を使用しているなら、アップデートすべきだ。それも直ちに。

　Googleは米国時間5月15日、Windows、MacおよびLinux向けに「Chrome 125」をリリースしたことを正式発表した。このアップデートには、ゼロデイ脆弱性「CVE-2024-4947」など、セキュリティ脆弱性に対応する幅広いパッチが含まれている。ゼロデイ脆弱性は、ソフトウェアメーカーがまだパッチを適用していないため、悪意ある攻撃者がこれを知った場合、ユーザーを容易に標的にできるタイプのソフトウェア脆弱性だ。聞き覚えがあるとしたら、それはGoogleが5月9日に、これとは違うゼロデイ脆弱性を修正するために別のパッチをリリースしていたからだ。

　CVE-2024-4947は、JavaScriptエンジン「V8」における「型の混同（Type Confusion）」脆弱性だ。これはセキュリティ企業Kasperskyのセキュリティ研究者、Vasily Berdnikov氏とBoris Larin氏によって発見されたもので、ハッカーが個々のユーザーを標的にしてブラウザーをクラッシュさせることを可能にする恐れがある。また、データを危険にさらすコードの実行にも悪用可能だ。

　Googleは、CVE-2024-4947に関するいくつかの重要な詳細については今のところ一般公開せず、代わりに「大半のユーザーが修正版に更新するまで、脆弱性の詳細やリンクへのアクセスは制限される場合がある」との注をつけている。同社はまた「CVE-2024-4947のエクスプロイトがすでに存在していることを認識している」と付け加えているが、詳細を明らかにすることを控えている。

　だが、状況は悪化している。CVE-2024-4947は、GoogleのChromeに加えて、Chromeと同じ「Chromium」技術をベースにしているMicrosoftの「Edge」ブラウザーにも影響する。Microsoftは15日付の声明で、修正版に現在取り組んでいると述べ、Googleと同様の見解を発表した。

　Microsoftはホームページに次のように記載している。「最近のエクスプロイトがすでに存在していることを認識しており、セキュリティ修正の公開に向けて積極的に取り組んでいる」

　Edgeユーザーにできるのは、Microsoftができるだけ迅速にそのアップデートを公開してブラウザーにパッチを適用してくれるのをじっと待つことだけだ。だが、Chromeユーザーの場合は、ブラウザーを今すぐアップデートすべきだ。

　まずは、現在利用しているのがどのバージョンのChromeなのかを把握することが肝心だ。これを知るには、ブラウザーの「Google Chromeについて」オプションをクリックしよう。Windowsマシンの場合は、「設定」＞「ヘルプ」＞「Chromeについて」と選択すると確認できる。Macの場合はとても簡単で、画面最上部にあるメニューバーの「Chrome」という項目をクリックして「Google Chromeについて」を選択すればいい。

　このページを見ると、今利用しているのがどのバージョンのChromeなのかがわかり、最新バージョンでなければChrome 125が自動でダウンロードされる。その後は、「再起動」オプションを選択してブラウザーを再起動し、マシンに確実にパッチを適用するだけだ。

　Googleは、Chrome 125アップデートは「数日ないし数週間以内に」配布されると述べているが、筆者が複数のデバイスで使用しているChromeソフトウェアでは、このアップデートを入手できた。ゆえに、おそらくはこの記事を読んでいる読者のみなさんも、アップデートしてChromeに存在する最新の恐ろしい脆弱性から身を守ることが可能になっているはずだ。