- Googleは、重大度「高」のChromeゼロデイと、重大度「中」の脆弱性2件を同時に修正
- 脆弱性は、メモリ破損とリモートコード実行を可能にするLibANGLEのバッファオーバーフローに関連している可能性
- これでChromeのゼロデイ修正は今年8件目となり、ブラウザーを狙った攻撃が続いていることを浮き彫りに
Googleは最近、ゼロデイとして実際に悪用されていた重大度「高」の脆弱性からユーザーを保護するため、Chromeブラウザーをアップデートしました。
今週初めに公開されたセキュリティアドバイザリの中で、同社はChrome向けに3件のバグを修正したと述べており、そのうち2件は重大度「中」、1件は重大度「高」とされています。
後者について、Googleは「実際に悪用コードが存在することを認識している」と述べました。パッチが展開されている間、ユーザーを保護するため、その他の詳細は公開されていません。これはGoogleの標準的な対応であり、ユーザーだけでなくサイバー犯罪者やその他のハッカーからも重要な情報を伏せるためのものです。
ブラウザーをクラッシュさせる
パッチの展開が完了する正確な日程は不明ですが、Googleは「今後数日から数週間のうちに」ほとんどのユーザーに届くと確認しています。Stableチャネルは、Windows/Mac向けに143.0.7499.109/.110、Linux向けに143.0.7499.109へと更新されており、確認したところ、すでにアップデートはインストールされていました。
バグの正体について公式な確認はありませんが、ChromiumのバグIDによると、GoogleのオープンソースライブラリであるLibANGLEで発見されたものだと、BleepingComputerは報じています。LibANGLEは、OpenGL ESの呼び出しを他のグラフィックスAPI(通常はWindows上のDirect3D)に変換するトランスレーションレイヤーです。これにより、ブラウザーやアプリは、オペレーティングシステムがそれらのAPIをネイティブにサポートしていなくても、WebGLやOpenGL ESコンテンツを実行できるようになります。
同じ情報源によれば、このバグは、おそらくANGLEのMetalレンダラーにおける不適切なバッファサイズ指定が原因のバッファオーバーフロー脆弱性だとみられています。攻撃者はこのバグを利用してメモリを破損させ、ブラウザーをクラッシュさせたり、機密データを漏えいさせたり、さらには任意のコードをリモートで実行したりすることが可能だったと考えられます。
これは、GoogleがChromeブラウザーで修正した8件目のゼロデイ脆弱性です。昨年、同社はこの種の脆弱性を10件修正しました。
ブラウザーはコンピューター上で最も頻繁に使用されるソフトウェアの一つであり、そのため常にさまざまなハッキングキャンペーンの標的となっています。
翻訳元: https://www.techradar.com/pro/security/google-releases-emergency-fix-for-yet-another-zero-day
