マルコム・オーウェン
· 1分で読めます
パッチのインストール準備ができたときの Chrome の更新ダイアログ ボックス
Google は、Chrome の最近のアップデートが、攻撃で積極的に使用されていたエクスプロイトである人気ブラウザのゼロデイ問題を修正するためのものであることを確認し、Mac、Windows、Linux のすべての Chrome ユーザーに対し、できるだけ早くインストールを更新することを推奨しました。
3月1日にリリースされたChromeのパッチには、CVE-2019-5786として特定されたセキュリティ上の欠陥の修正が含まれています。このアップデートでは、ブラウザに他の変更を加えることなく問題のみを修正し、3つのオペレーティングシステムすべてでChromeのバージョンを72.0.3626121にアップデートしました。
セキュリティ上の欠陥はChromeのすべてのデスクトップ版に影響を及ぼしたが、Windows 7に対するより複雑な攻撃の一部であったため、特にWindowsユーザーにとって問題となった。CNETの報道によると、Microsoftの旧OSにもChrome版と同時にゼロデイ脆弱性が確認されており、このブラウザの欠陥はWindowsに対するより複雑な攻撃の一部として積極的に利用されたという。
また、Chrome のインストールを今すぐ更新してください。#PSA
— ジャスティン・シュー(@justinschuh)2019年3月6日
Googleはパッチに関する発表を更新し、Chromeに対するエクスプロイトが「実際に存在している」と警告した。GoogleのChromeセキュリティ責任者であるジャスティン・シュー氏は、Twitterでエクスプロイトの存在を報告し、ユーザーにブラウザを新しいパッチで更新するよう勧告した。
この問題は、ウェブアプリがデスクトップ上のローカルファイルを読み取ることを可能にするChromeのFileReader APIのメモリ管理エラーに起因しています。具体的には、「解放後使用(use-after-free)」脆弱性と呼ばれるメモリエラーで、ウェブアプリがChromeの割り当てメモリから解放または削除されたメモリにアクセスしようとする際に発生し、悪意のあるコードの実行につながる可能性があります。
このバグを発見した研究者として、Google の脅威分析グループの Clement Lecigne 氏が名を連ねている。
iOS 版 Google Chrome はセキュリティ上の欠陥の影響を受けません。
