Google(グーグル)は、新しいブログ記事でChromeの4つの新しい脆弱性を発表し、そのうちの1つであるCVE-2023-2136を悪用したものが「実際に出回っている」と述べている。4つの脆弱性はすべて、Windows(ウィンドウズ)、Mac(マック)、Linux(リナックス)上のChromeに影響を与える。
他の3件のChromeゼロディ脆弱性とは異なり、CVE-2023-2136はブラウザのV8 Javascript(ジャバスクリプト)エンジンを対象としていない。グーグルは、この問題を「Skia(スキア)における整数オーバーフロー問題」だと説明している。なおSkiaとはChromeのグラフィックエンジンの名前だ。整数オーバーフローとは、整数値が保存可能な大きさを超えた場合に発生し、その結果セキュリティが損なわれ、悪用される可能性が生じる。
この脆弱性もグーグルの脅威分析グループによって発見されたが、Chromeに対する最初の実際の悪用が報告される前に、パッチは用意できなかった。
これを受けて、グーグルは、CVE-2023-2136と他の3つの高レベル脆弱性を含む、合計8つの脆弱性に対してパッチを適用したChromeの新バージョンをリリースした。アップデートを発動するには、ブラウザの右上にあるオーバーフローメニューバー(縦に3つの点が並ぶアイコン)をクリックし「ヘルプ」→「 グーグル Chromeについて」をクリックする必要がある。これにより、Chromeに強制的にブラウザの更新を確認させることができる。アップデートが完了したら、完全に保護が行われるように、ブラウザを再起動しなければならない。
グーグルはCVE-2023-2136およびその他の脆弱性に関する詳細を後日発表する予定だ、それまでに大多数のChromeブラウザはアップデートを済ませておくことができる。
昨年来、グーグルがChromeの脆弱性にパッチを当てるすばらしい仕事を行っていることを話してきたが、今回の2回の迅速なゼロデイ脆弱性への対処も変わらず見事だった。昨年、グーグルはユーザーにゼロデイ攻撃の増加が予想されると警告したが、実際にはその逆で、2021年の15件から2022年には9件に減少し、2023年は今のところ今回の悪用を含めてわずか2件だ。
グーグルはどのように流れを止めたのだろうか? 素人目には、グーグルが継続的に脆弱性を報告していることで、Chromeがより安全ではなくなっているように見えるかもしれないが、実際はその逆なのだ。Chromeは他の多くのライバルブラウザと同様にChromium(クロミアム)をベースにしており、同じ脆弱性がこれらの派生種にも影響を及ぼすが、グーグルだけが一貫してそれを明らかにしている。Chromiumの生みの親である同社は、パッチもいち早く発行している。
Chromeには、Chromiumのライバルたちが差別化に利用しようとする独自の欠点(メモリ使用量、プライバシーオプションなど)があるものの、セキュリティはそうしたものの対象には入っていない。ともあれ、すぐにChromeをアップデートしよう!
(forbes.com 原文)
