Google Chromeの脆弱性対応のアップデートの配信が開始されています。Chromeチームからの発表によるとChromium セキュリティ重大度: クリティカルを含む7件の脆弱性に対応するとのことです。アップデートを適用するとChromeのバージョンはWindows および Mac では 123.0.6312.86/.87 に、Linux では 123.0.6312.86 に更新されます。
修正された脆弱性のうち公開された脆弱性情報(CVE)とその概要は以下となります。
CVE-2024-2883
バージョン123.0.6312.86 より前の Google Chrome の ANGLE で解放後に使用すると、リモート攻撃者が細工された HTML ページを介してヒープ破損を悪用する可能性がありました。 (Chromium セキュリティ重大度: クリティカル)
CVE-2024-2885
バージョン123.0.6312.86 より前の Google Chrome の Dawn で解放後に使用すると、リモート攻撃者が細工された HTML ページを介してヒープ破損を悪用する可能性がありました。 (Chromium セキュリティ重大度: 高)
CVE-2024-2886
バージョン123.0.6312.86 より前の Google Chrome の WebCodecs で解放後に使用すると、リモート攻撃者が細工された HTML ページを介して任意の読み取り/書き込みを実行できました。 (Chromium セキュリティ重大度: 高)
CVE-2024-2887
バージョン123.0.6312.86 より前の Google Chrome の WebAssembly における型の混乱により、リモート攻撃者が細工された HTML ページを介して任意のコードを実行する可能性がありました。 (Chromium セキュリティ重大度: 高)
公開された脆弱性情報からわかることは脆弱性のあるバージョンのブラウザの利用者には攻撃者によって細工されたWebページ(HTML)を開かされるだけでサイバー攻撃が成立してしまうということです。推測になりますが数か月前から特に急増していたサイト誘導型の不審な広告バナー(「開く」「次へ」「続く」など)はターゲットを呼び込むための物だったのではないかと思います。
■関連リンク
Chromeリリース
Chrome Releases
https://chromereleases.googleblog.com/
Chromeリリース デスクトップ用の安定したチャネルの更新
Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html
■関連記事
・小さなセキュリティ対策 ブラウザの複数ウインドウ、複数タブを開いたままにしない
・「もっと見る」「次のページ」は危険な広告バナー
・「続く」、「開く」 は危険な広告バナー