GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処、2022年に入り6つ目のゼロデイパッチ

2022年9月2日、GoogleがWindows、Mac、Linuxユーザー向けに「Chrome 105.0.5195.102」をリリースしました。今回のアップデートはゼロデイ脆弱(ぜいじゃく)性「 CVE-2022-3075」に対処するものです。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html

Google Chrome emergency update fixes new zero-day used in attacks
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/

CVE-2022-3075は、プロセス間通信に用いられるライブラリ「Mojo」にデータ検証の不備があることが原因で生じた脆弱性です。2022年8月30日に匿名の研究者によりこの脆弱性が報告されていましたが、Googleによるとすでに悪用された形跡が確認されているとのことです。

アップデートは数日または数週間以内にユーザー全体に配布されると、Googleは述べています。アップデート状況はChromeの設定から「Chromeについて」を選択することで確認可能です。

2022年に発見されたゼロデイ脆弱性は2月14日の「CVE-2022-0609」、3月25日の「CVE-2022-1096」、4月14日の「CVE-2022-1364」、7月4日の「CVE-2022-2294」、8月17日の「CVE-2022-2856」の5つ。特に2月の脆弱性は、北朝鮮の支援を受けたハッカーが悪用していたことが明らかになっています。

北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明 - GIGAZINE