作業の手を止めてすぐにアプデを! Chromeにゼロデイ脆弱性発見

  • 67,722

  • author Andrew Couts - Gizmodo US
  • [原文]
  • 塚本直樹
作業の手を止めてすぐにアプデを! Chromeにゼロデイ脆弱性発見
Image: PREMIO STOCK / Shutterstock.com

さっそくやりました。

もしデスクトップ向けのGoogle Chromeでこの記事を読んでいるのなら、すぐにアップデートしましょう。

Google(グーグル)は先週木曜日に最新アップデート(バージョン88.0.4324.150)を公開し、ハッカーがすでに悪用している重大なゼロデイ脆弱性を修正しました。

Chromeのバージョンについては、メニューの「Google Chromeについて」からか、あるいはアドレスバーにchrome://settings/helpを入力しても確認可能です。

北朝鮮の国家ハッカーが脆弱性を悪用?

ゼロデイ脆弱性とは、ソフトウェアメーカーが検知しておらずパッチが発行できていない悪用可能な欠陥を意味します。今回の脆弱性では、Chromeを動作させるV8 JavaScriptエンジンの「heap buffer overflow」に欠陥が存在していました。

「CVE-2021-21148」と呼ばれるこの脆弱性は、1月24日にソフトウェア開発者の Mattias Buelens(マティアス・ブアレンス)氏によってGoogleに報告されました。「グーグルはCVE-2021-21148が悪用に利用されているという報告を認識しています」と、同社は述べています。

Googleはこれらの「報告」について多くは述べていませんでしたが、Buelens氏がバグレポートを提出した翌日には同社のThreat Analysisグループが、北朝鮮の国家ハッカーが多数のサイバーセキュリティ専門家に対して行なったと思われる攻撃を詳述したレポートを公開しました。その3日後の1月28日には、Microsoft(マイクロソフト)のセキュリティ研究者が独自の報告書を発表し、「ZINC」 や 「Lazarus」として知られる ハッキンググループによる攻撃についてさらに詳しく説明しました。

新しいChromeのパッチが、これらのハッカーやCVE-2021-21148のゼロデイ脆弱性を知っていたハッカーから守ってくれることを願っています。(繰り返しになりますが、ハッカーグループは別の脆弱性を悪用した可能性もあります。しかし報告のタイミングからして、これらが関係している可能性は高そうです)。なにはともあれ、Chromeユーザーはすぐにブラウザをアップデートしてくださいね。

    あわせて読みたい