Google Chromeの緊急更新
Google Chromeの緊急更新の案内が出ています。
今回は4つの脆弱性に対応する内容になっているのですが、なんとこのうちの2つはすでに実際の悪用が観測されているということです。
すでに更新は提供されていますので、利用状況によっては更新が完了しているパソコンもあることかと思いますが、是非手動で更新完了を確認してください。
実際に悪用が確認されている脆弱性は次の2つです。
- CVE-2021-37975
- CVE-ID: CVE-2021-37975
- CWE-ID: CWE-416 – Use After Free
- CVSSv3.1: 8.4
[CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C] - 共通脆弱性タイプ:解放後の使用
この脆弱性により、リモートの攻撃者が脆弱なシステムを危険にさらす可能性があります。
この脆弱性は、GoogleChromeのV8ブラウザエンジン内の解放後使用エラーが原因で存在します。リモートの攻撃者は、特別に細工されたWebページを作成し、被害者をだましてそのページにアクセスさせ、解放後使用エラーをトリガーし、ターゲットシステム上で任意のコードを実行する可能性があります。
脆弱性の悪用に成功すると、攻撃者が脆弱なシステムを危険にさらす可能性があります。
この脆弱性は実際に悪用されていることに注意してください。
- CVE-2021-37976
- CVE-ID: CVE-2021-37976
- CWE-ID: CWE-200 – Information Exposure
- CVSSv3.1: 7.2
[CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:H/RL:O/RC:C] [PCI] - 共通脆弱性タイプ:情報開示
この脆弱性により、リモートの攻撃者は潜在的に機密情報にアクセスできます。
この脆弱性は、GoogleChromeのコアでの過剰なデータ出力が原因で存在します。リモートの攻撃者は、被害者をだまして特別に細工されたWebページを開き、機密情報にアクセスする可能性があります。
この脆弱性は実際に悪用されていることに注意してください。
この脆弱性はGoogle Chromeのものです。
Windows環境に限らず、macOS用とLinux用でも同じ問題が存在します。
Google Chromeのシェアは、その新旧やAndroid用まで含めると世界でも日本でも50%を超えていると思われます。
速やかな更新が必要です。
わたしは趣味でセキュリティパッチ適用を日々行っているのですが、それが必要な世の中になってきているのかもしれません。
参考記事(外部リンク):Stable Channel Update for Desktop
chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html
