「Chrome」に新たなゼロデイ脆弱性、グーグルが修正--「Edge」にも影響

Don Reisinger (Special to ZDNET.com) 翻訳校正: 矢倉美登里 長谷睦 (ガリレオ)

2024-05-17 09:48

 Googleのブラウザー「Chrome」を使用しているなら、アップデートすべきだ。それも直ちに。

 Googleは米国時間5月15日、Windows、MacおよびLinux向けに「Chrome 125」をリリースしたことを正式発表した。このアップデートには、ゼロデイ脆弱性「CVE-2024-4947」など、セキュリティ脆弱性に対応する幅広いパッチが含まれている。ゼロデイ脆弱性は、ソフトウェアメーカーがまだパッチを適用していないため、悪意ある攻撃者がこれを知った場合、ユーザーを容易に標的にできるタイプのソフトウェア脆弱性だ。聞き覚えがあるとしたら、それはGoogleが5月9日に、これとは違うゼロデイ脆弱性を修正するために別のパッチをリリースしていたからだ。

 CVE-2024-4947は、JavaScriptエンジン「V8」における「型の混同(Type Confusion)」脆弱性だ。これはセキュリティ企業Kasperskyのセキュリティ研究者、Vasily Berdnikov氏とBoris Larin氏によって発見されたもので、ハッカーが個々のユーザーを標的にしてブラウザーをクラッシュさせることを可能にする恐れがある。また、データを危険にさらすコードの実行にも悪用可能だ。

 Googleは、CVE-2024-4947に関するいくつかの重要な詳細については今のところ一般公開せず、代わりに「大半のユーザーが修正版に更新するまで、脆弱性の詳細やリンクへのアクセスは制限される場合がある」との注をつけている。同社はまた「CVE-2024-4947のエクスプロイトがすでに存在していることを認識している」と付け加えているが、詳細を明らかにすることを控えている。

 だが、状況は悪化している。CVE-2024-4947は、GoogleのChromeに加えて、Chromeと同じ「Chromium」技術をベースにしているMicrosoftの「Edge」ブラウザーにも影響する。Microsoftは15日付の声明で、修正版に現在取り組んでいると述べ、Googleと同様の見解を発表した。

 Microsoftはホームページに次のように記載している。「最近のエクスプロイトがすでに存在していることを認識しており、セキュリティ修正の公開に向けて積極的に取り組んでいる」

 Edgeユーザーにできるのは、Microsoftができるだけ迅速にそのアップデートを公開してブラウザーにパッチを適用してくれるのをじっと待つことだけだ。だが、Chromeユーザーの場合は、ブラウザーを今すぐアップデートすべきだ。

 まずは、現在利用しているのがどのバージョンのChromeなのかを把握することが肝心だ。これを知るには、ブラウザーの「Google Chromeについて」オプションをクリックしよう。Windowsマシンの場合は、「設定」>「ヘルプ」>「Chromeについて」と選択すると確認できる。Macの場合はとても簡単で、画面最上部にあるメニューバーの「Chrome」という項目をクリックして「Google Chromeについて」を選択すればいい。

 このページを見ると、今利用しているのがどのバージョンのChromeなのかがわかり、最新バージョンでなければChrome 125が自動でダウンロードされる。その後は、「再起動」オプションを選択してブラウザーを再起動し、マシンに確実にパッチを適用するだけだ。

 Googleは、Chrome 125アップデートは「数日ないし数週間以内に」配布されると述べているが、筆者が複数のデバイスで使用しているChromeソフトウェアでは、このアップデートを入手できた。ゆえに、おそらくはこの記事を読んでいる読者のみなさんも、アップデートしてChromeに存在する最新の恐ろしい脆弱性から身を守ることが可能になっているはずだ。

提供:Kyle Kucharski/ZDNET
提供:Kyle Kucharski/ZDNET

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]