Googleは、27件のセキュリティ脆弱性に対応する新しいStableチャンネルのChromeアップデートを公開しました。この中には、攻撃者による任意コード実行を許してしまう可能性のある、緊急度の高いuse-after-free(UAF)バグが2件含まれています。
今回のアップデートにより、ChromeのバージョンはWindowsおよびMacで150.0.7871.114/.115に、Linuxで150.0.7871.114になります。配信は今後数日から数週間かけて順次進められる見込みです。
今回の更新で修正された2件の緊急度の高い脆弱性は、いずれもuse-after-free(解放済みメモリ使用)の状態に起因するものです。これは、アプリケーションが解放済みのメモリを引き続き使用してしまうことで発生するメモリ破損の一種で、攻撃者にプログラムの実行を乗っ取られる可能性があります。
この2件の問題は、外部からのバグ報奨金制度による報告ではなく、Google社内のセキュリティ調査によって発見されたものです。
今回のアップデートの大部分は、拡張機能を含む複数のChromeコンポーネント、Autofill(自動入力)、Payments(決済)、WebRTC、Forms(フォーム)、Codecs(コーデック)にまたがる、22件の重要度「高」の脆弱性への対応となっています。重要度「高」の主な修正内容は以下のとおりです。
Use-after-freeの脆弱性は、他の欠陥と組み合わせることでリモートコード実行に悪用されるケースが多く、ブラウザセキュリティにおいて依然として最も頻繁に悪用されるバグの分類の一つとなっています。
Googleが述べたところによると、今回のリリースに含まれる緊急度の高いUAFバグについて、アップデートを先延ばしにするユーザーは実際にリスクにさらされることになります。特にChromeは市場シェアが非常に大きいため、エクスプロイト開発者にとって常に狙われやすい標的となっている点も見逃せません。
ユーザーは、設定 > Chromeについてに移動し、自身のChromeが150.0.7871.114/.115(Windows/Mac)または150.0.7871.114(Linux)で動作しているか確認する必要があります。この操作を行うと自動的にチェックが実行され、アップデートが保留中の場合は再起動を促すプロンプトが表示されます。緊急度の高い脆弱性が存在することを踏まえると、このアップデートを先延ばしにすることは推奨されません。
翻訳元: https://cyberpress.org/google-chrome-update-fixes-27-security-flaws/