Google Chromeの早急なアップデートを。すべて脆弱性深刻度「高」のなかでも特に厄介なのは…
ChromeとChromium系ブラウザのユーザーは注意してください。 ブラウザを最新版にアップデートしなければ、インターネットでの行動がサイバー攻撃にさらされる危険があります。
すべて深刻度「高」の脆弱性。なかでも厄介なのはどれ?
11月28日、GoogleはChrome Releasesのブログで、Chromeの最新版(MacとLinux版の119.0.6045.199、Windows版の119.0.6045.199/.200)のリリースと、その7つのセキュリティ脆弱性のパッチについて発表しました。 発見された脆弱性はすべて深刻度が「高」とされていますが、Googleはそのうちの6つの名前だけ上げています。 【高】 CVE-2023-6348:スペルチェックにおける型の混同。2023年10月10日、Google Project ZeroのMark Brandによる報告。 【高】 CVE-2023-6347:Mojoにおける解放後のメモリの使用。2023年10月21日、360 Vulnerability Research InstituteのLeecrasoとGuang Gongによる報告。 【高】 CVE-2023-6346:WebAudioにおける解放後のメモリの使用。2023年11月9日、Ant Group Light-Year Security LabのHuang Xilinによる報告。 【高】 CVE-2023-6350:libavifにおける域外メモリへのアクセス。2023年11月13日、復旦大学による報告。 【高】 CVE-2023-6351:libavifにおける解放後のメモリの使用。2023年11月13日、復旦大学による報告。 【高】 CVE-2023-6345:Skiaにおける整数オーバーフロー。2023年11月24日、Googleの脅威分析チームのBenoît SevensとClément Lecigneによる報告。 どの脆弱性もパッチをするのが重要ですが、最後の「CVE-2023-6345」が一番問題です。 Googleは、この脆弱性が出回っていることを確認しており、すなわちそれは、悪意のあるハッカーはこの脆弱性が利用できることを知っている、もしくはすでに悪用しているということ。 この問題については、Skiaの整数オーバーフローの欠陥であるということ以外よくわかっていません。 Skiaとは、オープンソースの2Dのグラフィックエンジンであり、操作の結果がシステムが確保した各メモリの量と合わない時に、整数オーバーフローが発生します。 整数オーバーフローは必ずしも脆弱性につながるわけではありませんが、今回の欠陥は脆弱性につながっており、悪意あるハッカーがシステムを乗っ取るのに悪用できる可能性があります。 今回のアップデートは、4つのセキュリティ脆弱性にパッチした11月14日のアップデートと、1つの脆弱性にパッチしたと11月7日のアップデートに続くものです。ゼロディ脆弱性のパッチをした最新のアップデートは、9月11日にリリースされました。