「Google Chrome」の重大な脆弱性、CISAがアップデートを勧告

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2022-07-25 12:12

 Googleは米国時間7月19日、「Windows」と「Mac」「Linux」向けの「Google Chrome」ブラウザーのセキュリティアップデートをリリースした。このアップデートでは、遠隔地からのシステムの乗っ取りを可能にする脆弱性などに対処している。

Chromeのロゴ
提供:Shutterstock

 同アップデートではセキュリティに関する11件の修正を行っており、うち5件の重要度は「高(High)」と分類されている。これを受け、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は21日、IT管理者や利用者に対して同アップデートをインストールし、これらの問題に対処するよう勧告する通知を発出した

 Chromeのこのアップデートで対処されたうち最も深刻な脆弱性は「CVE-2022-2477」だ。これは「Guest View」における解放済みのメモリー使用によって引き起こされる脆弱性であり、これにより攻撃者は遠隔地から任意のコードをシステム上で実行したり、システムをクラッシュさせたりできるようになる可能性がある。

 解放済みのメモリー使用は、アプリケーションの実行中に動的メモリー割り当て機能を不適切なかたちで使用することで、メモリー領域を誤って解放してしまうというものであり、攻撃者にとって攻撃の糸口となる脆弱性になっている。

 この脆弱性に関する具体的な動作は今のところ明らかにされていないが、悪用された場合には、システムのクラッシュやコードの実行を許すような、メモリー破壊の問題につながる可能性がある。つまり攻撃者はこれを悪用することで、マルウェアをインストールしたり、システムを不正に使用したりできるようになる。

 同脆弱性を悪用するには、ユーザーとのある種のやり取りが必要になるが、今回のアップデートで公開された多くの脆弱性と同様に、全容はまだ明らかにされていない。その理由についてGoogleは、今回の問題を悪用しようとする人たちの手からユーザーを守るために、まずユーザーによるアップデートの適用を待つ段階であるためだとしている。

 Chromeチームはアップデートに、「問題の詳細やリンクへのアクセスは、大多数のユーザーが修正を適用するまで公開を制限することになるだろう」と記している。

 また同チームは、「セキュリティ上の問題が安定版(Stable)チャンネルに影響を及ぼさないよう、開発サイクルの中でわれわれに協力してくれたすべてのセキュリティ研究者らに感謝したい」とも記している。

 CISAは今回のアップデートが「対象となるシステムを乗っ取るために攻撃者が悪用する可能性のある脆弱性」に関するものであり、アップデートの適用を勧告している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]