Googleは、安定したチャネルでChromeをバージョン96.0.4664.110に更新しました。これは、同社が実際に悪用されていることを確認した、安全性の高いゼロデイ脆弱性のためです。発表によると、アップデートがすべての人に届くまでに時間がかかる場合がありますが、テストシステムですぐにアップデートを入手することができました。
アップデートには5つの修正が含まれており、対応する開示報酬とともに以下で確認できます。
- [$ NA] [ 1263457 ]クリティカルCVE-2021-4098:Mojoでのデータ検証が不十分です。これは、Google ProjectZeroのSergeyGlazunovによって2021-10-26に発表されました。
- [$ 5000] [ 1270658 ]高CVE-2021-4099:Swiftshaderで無料で使用した後に使用します。2021年11月16日にソリタのアキヘリンによって報告されました。
- [$ 5000] [ 1272068 ]高CVE-2021-4100:ANGLEでのオブジェクトライフサイクルの問題。Solita2021-11-19のAkiHelinによる報告
- [$ TBD] [ 1262080 ]高CVE-2021-4101:Swiftshaderのヒープバッファオーバーフロー。これは、2021年10月21日にAbraruddinKhanとOmayrによって報告されました。
- [$ TBD] [ 1278387 ]高CVE-2021-4102:V8で無料で使用した後に使用します。2021-12-09に匿名によって報告されました。
Googleはまた、「ほとんどのユーザーが修正プログラムを更新するまで、バグの詳細とリンクへのアクセスが制限される可能性がある」と述べています。他のプロジェクトが同様に依存しているが「まだ修正されていない」サードパーティライブラリにバグが存在する場合も、制約を保持します。これはおそらくCVE-2021-4102を指し、検索の巨人によると、すでに野生で積極的に悪用されています。
これは、同社が今年パッチを適用した16番目のゼロデイ脆弱性であり、これに最初に気付いたBleeping Computerによると、これも珍しいことではありません。2021年に修正された残りの15のゼロデイは、以下のとおりです。
- CVE-2021-21148 – 2月4日
- CVE-2021-21166 – 3月2日
- CVE-2021-21193 – 3月12日
- CVE-2021-21220 – 4月13日
- CVE-2021-21224 – 4月20日
- CVE-2021-30551 – 6月9日
- CVE-2021-30554 – 6月17日
- CVE-2021-30563 – 7月15日
- CVE-2021-30632およびCVE-2021-30633– 9月13日。
- CVE-2021-37973 – 9月24日
- CVE-2021-37976およびCVE-2021-37975– 9月30日。
- CVE-2021-38000およびCVE-2021-38003– 10月28日
また、先月Chrome 96がリリースされたときに、Chrome 97が1月の第1週まで出荷されないことが判明したことを思い出してください。そのため、現在のバージョンにパッチを適用することがさらに重要になります。
Chromeメニュー> [ヘルプ]> [Google Chromeについて]に移動して、アップデートが利用可能かどうかを確認できます。また、ブラウザは最新のアップデートを自動的にチェックし、可能な場合はインストールして再起動オプションを提供します。その後、アップデートが適用されます。
出典:BleepingComputer経由のGoogle
コメントを残す