ChromeのV8 JavaScriptエンジンのゼロデイ脆弱性に対する緊急アップデートをGoogleが実施、既に攻撃に悪用されまくっているため

Googleが2023年4月14日に、Google Chromeのゼロデイ脆弱(ぜいじゃく)性に関する緊急アップデートをリリースしました。Googleはこのアップデートにより、深刻度が「高」と設定された脆弱性の「CVE-2023-2033」に対応しました。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

Google Chrome emergency update fixes first zero-day of 2023
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/

Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability
https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html

Googleが今回のアップデートで対応した2件の脆弱性のうち、特に重要視されているのがGoogleのThreat Analysis Group(脅威分析グループ：TAG)によって特定された「CVE-2023-2033」です。

Googleが開発しているオープンソースのJavaScriptエンジン「V8」で見つかったこの不具合は、「Type Confusion(型の取り違え)」と呼ばれているもの。

一般的に、バッファの境界を超えたメモリの読み書きが行われるとブラウザがクラッシュしますが、脅威者はターゲットとなったデバイス上で任意のコードを実行するためにこの不具合を悪用することも可能です。

アメリカ国立標準技術研究所(NIST)が運営しているNational Vulnerability Databaseは、「バージョン112.0.5615.121より前のGoogle ChromeのV8における型の取り違えを悪用すると、リモートの攻撃者が細工したHTMLページを介してヒープ破壊を行える可能性があります」と説明しました。

Googleは「CVE-2023-2033のエクスプロイトが野放しで存在することを認識しています」と述べて、この脆弱性がすでに悪用されているものだという認識を示しました。ただし、さらなる被害を防ぐため、技術的な詳細情報については伏せられています。

「CVE-2023-2033」に対応するWindows、macOS、Linux向けChromeのバージョン112.0.5615.121はStable Desktopチャンネルでリリースされており、今後数日から数週間で全てのユーザーに配信されます。また、Googleの設定画面にある「Chrome について」から更新することも可能です。

この脆弱性がChromiumのものであることから、サイバーセキュリティ専門のニュースサイト・The Hacker Newsは、「Microsoft Edge、Brave、Opera、VivaldiなどChromiumベースのブラウザのユーザーは、修正プログラムが利用可能になり次第、適用することをお勧めします」と注意喚起しました。