Googleが429件のChrome脆弱性を修正、22件のクリティカルな欠陥を含む

Googleは、Windows・macOS・Linux向けにChrome 149をステーブルチャンネルへリリースしました。このアップデートでは、リモートコード実行、メモリ破壊、サンドボックスエスケープを可能にする22件のクリティカルな欠陥を含む、計429件のセキュリティ脆弱性が修正されています。

バージョン149.0.7827.53/54として提供されるこのアップデートは段階的に展開されており、ANGLE、GPU、ネットワーク、Ozone、そのほか複数のChromeサブシステムにわたる修正が含まれています。

429件のChrome脆弱性を修正

クリティカルな脆弱性の大部分は、Use-After-Freeや境界外読み書き（Out-of-Bounds Read/Write）といったメモリ安全性の問題に起因しており、現代のブラウザにおいて繰り返し悪用される攻撃ベクターとなっています。

これらの欠陥は、細工されたウェブコンテンツを通じて攻撃者に悪用される可能性があり、ブラウザのコンテキスト内で任意のコードが実行されるおそれがあります。特にGPUとANGLEコンポーネントに影響する脆弱性が複数確認されており、これらはその複雑さとハードウェアアクセラレーション層との直接的な関係から、頻繁に攻撃の標的となっています。

Googleは、多数のユーザーにアップデートが届くまで、多くの脆弱性に関する詳細な技術情報の公開を制限しています。これは、活発な悪用を防ぐための標準的な対応策です。これらの脆弱性は外部の研究者と内部のセキュリティチームの両方から報告されており、影響度の高い発見に対するバグバウンティの報奨金は最大97,000ドルに達しています。

脅威インテリジェンスの観点からは、ネットワーク、ファイルシステム、パスワード関連のコンポーネントにおける脆弱性が特に懸念されます。これらは他のエクスプロイトと組み合わされた場合、データ漏洩や権限昇格を引き起こす可能性があります。

さらに、Chromecast、Cast Streaming、Chromotingに存在する欠陥は、リモートストリーミングやデバイス連携機能におけるリスクを示しており、従来のブラウザ利用の範囲を超えた攻撃対象領域の拡大が懸念されます。

組織および個人ユーザーは、露出リスクを軽減するために直ちにChromeをアップデートすることを強く推奨します。修正件数とその深刻度を踏まえると、このリリースは、エンタープライズセキュリティ戦略の一環としてブラウザの堅牢化と迅速なパッチ管理がいかに重要であるかを改めて示しています。