CVE-2022-0609とその仲間たち

ほぼこもセキュリティニュース By Terilogy Worx

Chromeの更新が案内されています。
98.0.4758.102というバージョンです。
ブラウザのバージョンはここのところ特に頻繁に更新されますが、これはその一つです。
この更新には11のセキュリティ修正が含まれています。
CVE-2022-0609はこの中の一つです。

これらの脆弱性のなかにはまだ詳細情報が開示されていないものがあります。
更新が完了していないユーザが少なくないために開示を控えているケースがありますし、他のプロジェクトが関連して問題となるものでその関連したものの更新状況が十分でないというケースもあります。

詳細が公表されているいくつかの内容を見ると、内容は開放後のメモリを不正に使用されてしまう類のものであることが確認できます。

  • ブラウザでアニメーションを動作させ終わった後の開放メモリの悪用
  • Web Store APIの使用後メモリの悪用
    Web Store APIはChromeウェブストアの操作機能です。
    Chromeウェブストアは、Chromeの拡張機能を見つけて適用することのできるものです。使っている方も多いのではないでしょうか。
  • ANGLEの使用後メモリの悪用
    ANGLEはChromeやFirefoxの3DグラフィックスをネイティブにレンダリングしているWebGLです。
    JavaScript APIとして実装されていてクロスプラットフォームで利用できます。
  • GPUの使用後メモリの悪用
    GPUはGraphics Processing Unitです。

これらの問題はいずれもリモートから攻撃を実現できる可能性があるものです。
すでに実際の攻撃が観測されているものもあります。

脆弱性はどれも嫌なものですが、ブラウザがページをレンダリングしているときのメモリの管理ミスに起因する問題は特に嫌なものです。
ブラウザでリモートコード実行ができてしまうということは、いわゆるドライブバイダウンロードができてしまうということだからです。
ドライブバイダウンロードは、Webサイトを閲覧した際、ユーザーの気づかぬ間に、勝手にマルウェアをダウンロードさせる攻撃手法のことです。
認証情報の入力とかクリックとかそういうものを必要とせず、単に手を加えられたコンテンツがあるサイトを表示させただけで攻撃が開始してしまいます。

みなさんのChromeは最新状態ですか?

参考記事(外部リンク):Stable Channel Update for Desktop
chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。