編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

グーグル「Chrome 104」安定版リリース--27件の脆弱性を修正

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2022-08-04 14:01

 Googleは米国時間8月2日、「Chrome 104」の安定版を「Windows」「macOS」「Linux」向けに公開した。27件のセキュリティフィックスが含まれており、そのうちの10件は重要度が「高」(High)、17件は「中」(Medium)とされている。

提供:Shutterstock / GaudiLab
提供:Shutterstock / GaudiLab

 今回対処された脆弱性のうち、22件はサードパーティーによって報告されたものだ。

 活発に悪用されている脆弱性はないが、Chrome 104のリリースノートには深刻度の高い脆弱性に対処する複数の重要なフィックスが含まれている。これらはそれほど詳しく説明されていないものの、Chromeの「オムニボックス」(Omnibox:アドレスバー)や、オプションの有害ウェブサイト警告ツール「セーフブラウジング」(Safe Browsing)、ChromeにおけるWebGPU標準の実装である「Dawn」、「Chromebook」と「Android」デバイス間でファイルを共有するための「Nearby Share」機能(Appleの「AirDrop」に相当)の脆弱性に対処するものが含まれている。

 また、オーストリアのグラーツ工科大学(TU Graz)に所属するErik Kraft氏とMartin Schwarzl氏が発見した、Chromeのキーボード入力に影響を与える、サイドチャネルからの情報漏えい(重要度は「中」)という興味深い問題もある。なお、TU Grazのリサーチャーらは、2018年に問題となった、CPUに対するサイドチャネル攻撃である「Meltdown」と「Spectre」の発見で中心的な役割を果たした。

 Googleは、オムニボックスに潜んでいた「解放後のメモリー使用」に関する問題(共通脆弱性識別子CVE-2022-2603)について、匿名のリサーチャーに1万5000ドル(約200万円)を報奨金として支払った。

 Chromeのセーフブラウジングにも、重要度が「高」と評価された解放後のメモリー使用の問題(CVE-2022-2604)が含まれているほか、重要度が「中」と評価された、信頼できない入力に対する不十分な検証によって引き起こされる問題(CVE-2022-2622)が存在している。

 セーフブラウジングは、ユーザーが危険なウェブサイトにアクセスしたり、悪意のあるアプリケーションをダウンロードしようとした際に、警告を表示するツールであり、Chromeをはじめとする主要ブラウザーで採用されている。

 セーフブラウジング内に存在する重要度「高」の問題(CVE-2022-2604)は、奇虎360(Qihoo 360)の360 Alpha Labに所属するNan Wang氏とGuang Gong氏によって6月10日に報告された。両氏はこの他にもChromeの「Managed devices API」に存在している解放後のメモリー使用に関する重要度「高」の問題(CVE-2022-2606)と、Chromeの「WebUI」に存在している解放後のメモリー使用に関する重要度「中」の問題(CVE-2022-2620)について報告している。

 ChromeのNearby Share機能に存在する脆弱性も、解放後のメモリー使用に関する問題(CVE-2022-2609)だ。

 これらの脆弱性に関する詳細は明らかにされていない。というのもGoogleは、「大多数のユーザーが修正アップデートを適用するまで」リリースノートでの脆弱性の詳細開示を制限しているためだ。また、他のプロジェクトが依存しているサードパーティーのライブラリーに問題が存在しているものの、まだ対応されていないという場合も、詳細の開示を制限するとしている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    【講演資料】Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  2. セキュリティ

    SASEのすべてを1冊で理解、ユースケース、ネットワーキング機能、セキュリティ機能、10の利点

  3. ビジネスアプリケーション

    北海道庁、コロナワクチン接種の予約受付から結果登録まで一気通貫したワークフローを2週間で構築

  4. セキュリティ

    Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  5. セキュリティ

    セキュアなテレワーク推進に欠かせない「ゼロトラスト」、実装で重要な7項目と具体的な対処法

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]