Googleは、Google Chromeブラウザに存在する、ハッカーによって悪用されたとみられるゼロデイ脆弱性に対処するため、予定外のアップデートをリリースした。これは、市場シェアで世界最大のブラウザであるChromeにおいて、2023年に発生した最初の深刻な脆弱性となる。
CVE-2023-2033と名付けられたこの脆弱性は、2023年4月11日にGoogleの脅威分析チーム(TAG)のクレメント・レシグネ氏によって報告されました。Google TAGは、 政府支援の脅威アクターによる高度に標的を絞った攻撃で悪用されるゼロデイ脆弱性を検出して報告することを任務とする専門家チームです。
この脆弱性は深刻度が高く、V8 JavaScriptエンジンにおける型混同の問題として説明されています。Google Chromeブラウザのバージョン112.0.5615.121より前のバージョンで発見されたV8の型混同により、リモートの攻撃者が生成されたHTMLページを介してヒープの脆弱性を悪用する可能性があります。
ユーザーはChromeブラウザを直ちにアップデートする必要があります。
この脆弱性は通常、攻撃者がバッファ制限外のデータを読み書きすることでブラウザをクラッシュさせることが可能ですが、ハッカーは侵害されたデバイス上でコードを実行することもできます。この脆弱性の深刻度が高いため、Googleは大多数のユーザーがパッチを受け取るまで、バグの詳細へのアクセスを制限すると発表しました。
また、このセキュリティ脆弱性はJavaScript V8に依存し、パッチが適用されていないサードパーティのライブラリやプロジェクトにも存在するため、Googleは今後もこの脆弱性へのアクセスを制限し続ける可能性がある。
Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザを使用しているユーザーも、修正プログラムがリリースされ次第適用してください。Google Chromeの最新バージョンを確認するには、ブラウザで「Chrome」>「ヘルプ」>「Google Chromeについて」を選択してください。
ソースリンク
コメント (0)