Chromeの安定版チャンネル(ブラウザの更新を管理する仕組み)は、WindowsとMac向けには128.0.6613.84/.85、Linux向けには128.0.6613.84にアップデートされた。これは自動的にPCにダウンロードされるはずだが、確実にインストールするにはブラウザを確認して再起動する必要がある。
「CVE-2024-7971」で識別される今回の脆弱性は、JavaScriptエンジンV8にの「型混乱」によるもので、これはChromeのゼロデイ(修正前に悪用される脆弱性)としては典型的なメモリ問題だ。これは「細工されたHTMLページを通じて、リモートの攻撃者がヒープ破壊(メモリ領域の破壊)を悪用することを可能にする」つまり、攻撃者はこれを利用してPCを不安定にしたり、データを危険にさらしたり、不正なコードを実行したりする可能性がある。この脆弱性はマイクロソフトによって発見され、報告された。
マイクロソフト自身の大規模なパッチチューズデー(マイクロソフトが毎月第2火曜日に公開するセキュリティ更新プログラム)や、Androidエコシステム全体で緊急パッチを必要とする別の脆弱性など、今月はゼロデイ脆弱性に関するニュースが多い月だった。まさに「あらゆるものをアップデートする月」となっている。
いつものことだが、グーグルは、修正済みのユーザーが大多数になるまで詳細情報を控えるとしており、「他のプロジェクトが依存しているがまだ修正されていないサードパーティライブラリにバグが存在する場合には制限を続けることもある」という。
アップデートは即座に利用可能になったようで、グーグルの迅速な対応には賞賛に値する。とはいえ、この緊急ゼロデイアップデートは、今月のグーグルの機能アップデート(機密データの保護とよりシームレスなパスワード管理)の影を薄くしてしまうだろう。
グーグルにとって皮肉なのは、この緊急アップデートのニュースが「Chromeがユーザーのデータ収集に関して誤解を招いていた」という訴訟に グーグル が直面しているという別の問題から人々の注目をそらすかもしれないことだ。
この訴訟は、グーグルが以前から約束していたトラッキングCookie(ユーザーの行動を追跡するCookie)の廃止を突然撤回したことに起因している。
だが、進行中のトラッキング問題にもかかわらず、Chromeは非常に強靭であり、その圧倒的な市場シェアに衰えの兆しは見られない。そのため、このブラウザを使い続ける数十億人のユーザーはアップデートを急ぐ必要がある。
(forbes.com 原文)
