Google が Chrome ブラウザの緊急パッチをリリース。

Googleは、Google Chromeブラウザにおいてハッカーによって積極的に悪用されているとみられるゼロデイ脆弱性を修正するため、予定外のアップデートをリリースしました。これは、 世界最大の市場シェアを誇るブラウザにおける、2023年最初の深刻なバグとなります。

CVE-2023-2033と名付けられたこの脆弱性は、Googleの脅威分析チーム（TAG）のClement Lecigne氏によって2023年4月11日に報告されました。Google TAGは、 政府が支援する脅威アクターによる高度に標的を絞った攻撃で悪用されるゼロデイ脆弱性を検出し、報告することを任務とする専門家チームです。

この脆弱性は深刻度が高く、V8 JavaScriptエンジンにおける型混乱の問題として説明されています。Google Chromeブラウザのバージョン112.0.5615.121より前のバージョンで発見されたV8の型混乱により、リモートの攻撃者が生成されたHTMLページを通じてヒープ脆弱性を悪用する可能性があります。

この脆弱性は、バッファ制限外のデータの読み取りまたは書き込みに成功すれば、通常、攻撃者がブラウザをクラッシュさせることが可能ですが、ハッカーは侵害されたデバイス上でコードを実行することも可能としています。この脆弱性の深刻度が高いため、Googleは、大多数のユーザーがパッチを受け取るまで、バグの詳細へのアクセスを制限すると発表しました。

また、このセキュリティ脆弱性は JavaScript V8 に依存しており、パッチが適用されていないサードパーティのライブラリやプロジェクトにも存在するため、Google が引き続きこのセキュリティ脆弱性へのアクセスを制限していく可能性もあります。

Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザをご利用の方も、修正プログラムがリリースされ次第適用してください。Google Chromeの最新バージョンを確認するには、ブラウザから「Chrome > ヘルプ > Google Chromeについて」にアクセスしてください。