2022年に入って9件目となる。Googleは、Chromeの公式リリースブログへの投稿で、Windows(ウィンドウズ)、Mac(マック)、Linux(リナックス)プラットフォーム、およびAndroid(アンドロイド)でChromeを使用しているユーザーが、深刻度の高いCVE-2022-4262ゼロディセキュリティ脆弱性の影響を受けると述べている。緊急アップデートがすべてのプラットフォームに展開されたが、Googleは大多数のChromeユーザーがアップデートを終えるまで、ゼロデイに関する技術的な詳細の発表は控えている。
CVE-2022-4262についてわかっていること
Googleは、この脅威に対する攻撃手段が存在していることを認めた上で、CVE-2022-4262を「タイプの混乱、V8 JavaScriptエンジン内の脆弱性」とだけ説明している。
Action1(アクションワン)の脆弱性・脅威リサーチ担当副社長であるマイク・ウォルターは「この脆弱性によって、リモートでコードが実行される可能性が非常に高い」と述べている。「つまり、攻撃者は被害者のデバイス上で任意のスクリプトやマルウェアの中身を実行させることができるのです」。
ウォルターは、これはユーザーが悪意のあるウェブサイトにアクセスしたときに、攻撃者がこのような脆弱性を悪用できることを意味すると警告している。そして「(攻撃者は)感染したデバイスからデータを盗んだり、ボットネットを作成して分散型サービス拒否(DDoS)攻撃や暗号資産の採掘、スパムの送信などを行うのです」と付け加えた。
Google Chromeの強制アップデートを今すぐ行うべき理由
Google Chromeには自動更新機能があり、セキュリティパッチが端末に届くと自動的にインストールされるが、ブラウザ自体が再起動することで初めて有効になる。つまり、ブラウザの安全性がすぐに有効化されない理由としては、アップデートがまだ届いていないか、Chrome自体の再起動が行われていないというものがあり得る。
