Chromeで悪用事例も確認されたゼロデイ脆弱性を修正するための緊急アップデートが実施される

2022年3月25日、Googleが開発するブラウザ「Google Chrome」のデスクトップ版で緊急アップデートが実施され、最新安定版であるバージョン「99.0.4844.84」がリリースされました。今回の緊急アップデートは、新たに発見されたChromeのゼロデイ脆弱性「CVE-2022-1096」の修正によるもので、Googleは実際に「CVE-2022-1096」を悪用した事例も確認されていると報告しています。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

Emergency Google Chrome update fixes zero-day used in attacks
https://www.bleepingcomputer.com/news/security/emergency-google-chrome-update-fixes-zero-day-used-in-attacks/

Googleは3月25日、Windows・Mac・Linuxユーザー向けにChromeの最新安定版「99.0.4844.84」をリリースしました。今回の更新プログラムには、新たに発見されたゼロデイ脆弱性「CVE-2022-1096」のセキュリティ修正プログラムが含まれているとGoogleは述べています。

匿名のセキュリティ研究者によって報告されたCVE-2022-1096は、Googleが開発するJavaScriptエンジンのV8におけるType Confusion(型の取り違え)に関する脆弱性で、脆弱性の重要度は4段階のうち上から2番目に当たる「High(高)」とされています。テクノロジー系メディアのBleeping Conputerは、型の取り違えを悪用するとブラウザをクラッシュさせられるだけでなく、攻撃者が任意のコードを実行することも可能だと指摘しています。

V8はブラウザ向けコードベースのChromiumに採用されているため、今回の脆弱性はChromeだけでなくMicrosoftのChromiumブラウザであるEdgeなどにも影響するとのこと。これを受けてMicrosoftも、脆弱性を修正したバージョン「99.0.1150.55」をリリースしました。

GoogleはCVE-2022-1096を悪用した攻撃事例を確認しているとのことですが、「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正をアップデートするまで制限され続ける可能性があります」と述べ、攻撃に関する技術的な情報や追加情報は共有していません。

テクノロジー系メディアのBleeping Conputerは、Coogleが脆弱性に関する情報共有を先延ばしにしているのは、Chromeユーザーがアップデートを行って脆弱性を突いた攻撃を防ぐ時間を確保するためだと述べています。CVE-2022-1096を修正したChromeのバージョン「99.0.4844.84」は、今後数日～数週間で展開される予定だとのことです。

なお、Googleは3月24日にも、「CVE-2022-0609」というChromeの脆弱性が北朝鮮の支援を受けるハッカーに悪用されていたことを報告しています。

北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明 - GIGAZINE