Google Chromeの緊急更新

Google Chromeの緊急更新の案内が出ています。
今回は4つの脆弱性に対応する内容になっているのですが、なんとこのうちの2つはすでに実際の悪用が観測されているということです。

すでに更新は提供されていますので、利用状況によっては更新が完了しているパソコンもあることかと思いますが、是非手動で更新完了を確認してください。

実際に悪用が確認されている脆弱性は次の2つです。

  • CVE-2021-37975
    • CVE-ID: CVE-2021-37975
    • CWE-ID: CWE-416 – Use After Free
    • CVSSv3.1: 8.4
      [CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C]
    • 共通脆弱性タイプ:解放後の使用
      この脆弱性により、リモートの攻撃者が脆弱なシステムを危険にさらす可能性があります。
      この脆弱性は、GoogleChromeのV8ブラウザエンジン内の解放後使用エラーが原因で存在します。リモートの攻撃者は、特別に細工されたWebページを作成し、被害者をだましてそのページにアクセスさせ、解放後使用エラーをトリガーし、ターゲットシステム上で任意のコードを実行する可能性があります。
      脆弱性の悪用に成功すると、攻撃者が脆弱なシステムを危険にさらす可能性があります。
      この脆弱性は実際に悪用されていることに注意してください。
  • CVE-2021-37976
    • CVE-ID: CVE-2021-37976
    • CWE-ID: CWE-200 – Information Exposure
    • CVSSv3.1: 7.2
      [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:H/RL:O/RC:C] [PCI]
    • 共通脆弱性タイプ:情報開示
      この脆弱性により、リモートの攻撃者は潜在的に機密情報にアクセスできます。
      この脆弱性は、GoogleChromeのコアでの過剰なデータ出力が原因で存在します。リモートの攻撃者は、被害者をだまして特別に細工されたWebページを開き、機密情報にアクセスする可能性があります。
      この脆弱性は実際に悪用されていることに注意してください。

この脆弱性はGoogle Chromeのものです。
Windows環境に限らず、macOS用とLinux用でも同じ問題が存在します。
Google Chromeのシェアは、その新旧やAndroid用まで含めると世界でも日本でも50%を超えていると思われます。
速やかな更新が必要です。

わたしは趣味でセキュリティパッチ適用を日々行っているのですが、それが必要な世の中になってきているのかもしれません。

参考記事(外部リンク):Stable Channel Update for Desktop
chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。