これら2つのアップデートにおける一致は、いずれも画像処理に関わる攻撃であるという以上に根深い。
CVE-2023-4863とBlastpass、iOSとChromeのセキュリティアップデートに関連はあるのか?
アップルとグーグルは、ユーザーたちが端末をアップデートするまでの間に、攻撃が増えないよう、ゼロデイ攻撃に関する技術的な詳細の公開に対して慎重だ。しかし、カナダ、トロント大学のCitizen LabはCVE-2023-41064について「悪意をもって作られた画像を通じてコードを実行できる脆弱性」であり、BLASTPASSと呼ばれる攻撃に使用され「悪意ある画像を含むPassKit添付ファイルを利用している」と説明している。Chromeゼロデイ脆弱性であるCVE-2023-4863は、WebP画像フォーマットのヒープバッファーオーバーフローの問題だ。まだ確認されていないものの、この攻撃によって、悪意ある画像を含むウェブサイトを訪れた際にゼロクリック攻撃が可能になる恐れがある。BLASTPASS攻撃もゼロクリック攻撃であり、ユーザーの操作なしにiPhoneに侵入することができるとCitizen Labは報告している。
iOSとChromeの問題は、偶然の一致なのだろうか。その可能性はあるが、Citizen Labの報告書は9月7付けで、Chromeのゼロデイ攻撃がグーグルに報告されたのは9月6日であることに注意しなければならない。他ならぬアップルのSecurity Engineering and ArchitectureチームとCitizen Labによって。
今すぐChromeブラウザをアップデート
グーグルは、MacとLinux用のChromeでは116.0.5845.187に、Windows用では116.0.5845.187/188にするアップデートを公開すると発表した。グーグルは、同社が「CVE-2023-4863を利用した攻撃が野放し状態であることを認識している」と述べている。このようにBLASTPASSのスパイウェアキャンペーンと、このChrome緊急セキュリティアップデートに関連がある可能性を考慮すると、Chromeユーザー全員ができるだけ早くアップデートすることが推奨される。
セキュリティアップデートは自動的に適用されるが、修正プログラムがダウンロードされただけでなく、有効化されたことを常に確認するのは良い習慣だ。「Google Chromeについて」のページを開いてアップデートを確認してほしい。セキュリティアップデートがダウンロードされインストールが完了されたら、ブラウザを再起動してゼロデイ攻撃からの保護を有効にする必要がある。
他のChromiumを利用したブラウザであるBrave、Edge、Opera、Vivaldiなどがこの脆弱性の影響を受けるかどうかは、まだわかっていないが、いずれのブラウザのユーザーもセキュリティアップデートを確認するのが賢明だろう。
(forbes.com 原文)
