ご注意を・・・
窓の杜の記事に、 WindowsとChromeのゼロデイ脆弱性を悪用した攻撃「PuzzleMaker」 ~Kasperskyが注意喚起 てのがありました。
露Kasperskyは6月8日(現地時間)、「Windows」と「Google Chrome」のゼロデイ脆弱性を組み合わせた高度な標的型攻撃が観測されたと発表したそうです。記事によると・・・
同社によると、これら攻撃はすべて「Chrome」のJavaScriptエンジン「V8」に含まれる「Type Mismatch」(型の取り違え)の欠陥(CVE-2021-21224)を突いて行われている。「Chrome」がコンテンツを描画するレンダラープロセスを乗っ取ることが可能で、これを糸口に以下の2件のWindowsの脆弱性を組み合わせて攻撃を成功させているようだ。
- CVE-2021-31955:「Windows Vista」で導入されたキャッシュメモリを管理する「SuperFetch」機能に関する脆弱性
- CVE-2021-31956:NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー。通知機能「Windows Notification Facility」(WNF)と組み合わせ、任意の基本データ型メモリ読み取り・書き込みを作成し、システム権限でマルウェアモジュールを実行する
だそうです。4月中旬より複数の企業が被害に遭っているとのことなので、十分に注意が必要です。
記事にもある通り、「Chrome」側の欠陥は、先日のアップデートで修正済みで、「Chromium」「V8」を共有する「Microsoft Edge」でも対策が施されている とのこと。
Windows側の脆弱性も今月の月例セキュリティアップデートで対処されているとのことなので、まだアップデートを行っていない方は、早急なアップデートをお薦めします。