GoogleはChromeブラウザ向けにセキュリティアップデートをリリースし、同社が「実際に野放し状態で悪用されている」と認めたゼロデイ脆弱性に対処しました。
今年、インターネット大手はChromeにおいて、いくつかの悪用されたゼロデイ脆弱性にパッチを適用してきました。しかし、パッチを発表する際には、常に脆弱性の概要を簡潔に共有してきました。
執筆時点では、最新のChromeゼロデイにはCVE識別子が付与されておらず、ブラウザのどのコンポーネントに影響するのかも不明です。同社は現在、この脆弱性をバグトラッカーID(466192044)で追跡しており、「調整中(under coordination)」としています。
また、この脆弱性を誰が発見し、いつGoogleに報告したのかも明らかになっていません。判明している唯一の情報は、このセキュリティホールが「高(high)」の深刻度レーティングを持つということだけです。
これまでに実際の攻撃で悪用されてきたChromeゼロデイの傾向からすると、この欠陥は、おそらくV8 JavaScriptエンジンまたは関連コンポーネントにおけるメモリ破損問題(型混同やuse-after-freeの可能性)であると考えられます。
この種の脆弱性は、通常サンドボックスエスケープやリモートコード実行に悪用される可能性があります。
Chromeのゼロデイは、洗練された商用スパイウェアを利用する政府支援のスパイ活動キャンペーンによって頻繁に悪用されています。これは、この謎の脆弱性が、広範囲な攻撃キャンペーンというよりも、標的型攻撃キャンペーンの一部であった可能性を示唆しています。
このゼロデイには、Chrome 143のアップデートでパッチが適用されており、このアップデートでは、中程度の深刻度の問題2件にも対処しています。1つはブラウザのパスワードマネージャにおけるuse-after-free、もう1つはツールバーコンポーネントにおける不適切な実装の欠陥です。
これらそれぞれのセキュリティホールについて、報告した研究者には2,000ドルのバグバウンティが支払われました。
デイリーブリーフィングニュースレター
最新の脅威、トレンド、テクノロジーに加え、業界専門家による洞察に富んだコラムを入手するために、SecurityWeekのメールブリーフィングに登録してください。
このセッションでは、高圧なインシデント発生時に、GRCとSOCがどのように一体となって動き、共有された脅威インテリジェンスを、より迅速なアクション、明確なコミュニケーション、そしてより強固な組織のレジリエンスへと変えていくのかを探ります。
この2日間のイベントでは、予測AI、機械学習、自動化が現代のサイバーセキュリティプログラムにもたらす影響と活用法を探ることで、セキュリティに関する議論の境界を押し広げます。
翻訳元: https://www.securityweek.com/google-patches-mysterious-chrome-zero-day-exploited-in-the-wild/
