この見出しを読んで「もしかしてデジャヴ?」と思うかもしれませんが、違います。
Googleは、新たなゼロデイ脆弱性を報告しており、これはChromeのみならず、ひいてはそのユーザー全員にも影響を及ぼす可能性があります。
幸い、現在はパッチが提供されています。
Googleは4月14日(木)にセキュリティレポートを発行し、新たに発見されたこの欠陥に対処するため、Chromeを新しいビルド100.0.4896.127に更新したことを明らかにしています。
最新のGoogle Chromeのセキュリティ上の脆弱性とは?
CVE-2022-1364として特定されたこの欠陥は、V8 JavaScriptエンジンの「型の取り違え」による脆弱性です。
この問題は、あるコードがオブジェクトを使用する前に、そのオブジェクトの型をチェックしない場合に発生します。
通常、このような「型の取り違え」はブラウザーをクラッシュさせるだけですが、特定されると、悪意ある攻撃者がこの欠陥を悪用する可能性があります。
この問題は、4月13日(水)にGoogleのThreat Analysis Group(脅威分析グループ)のClément Lecigneさんによって報告され、Googleは24時間以内にパッチを適用しました。
Chromeコミュニティ全体にとって残念なことですが、Googleは、CVE-2022-1364に対するそのようなエクスプロイトが野放しになっていることを確認しました。
これは、誰かが、どこかで、この欠陥を知り、それを他人に対して利用する方法を考え出したということです。
ゼロデイ脆弱性に対して利用可能なエクスプロイトが存在する場合、開発者はできるだけ早くパッチを適用することが不可欠です。
なぜChromeにはまだパッチが適用されていないのか?
パッチは完成していますが、Googleは現時点ではすべてのChromeユーザーに対してパッチをロールアウトできていません。
同社によると、パッチのロールアウトは今後数日から数週間のうちに行われるとのことで、しばらくはパッチを目にすることができないかもしれません。
しかし、事態は深刻なので、お使いのブラウザでパッチが利用可能になるまで、頻繁にアップデートを確認することをおすすめします。
確認方法は、ブラウザのウィンドウ右上にある3つの点をクリックし、「ヘルプ」を選択し、次に「Google Chromeについて」を選択。
Chrome が新しいアップデートを探す時間をしばし与えましょう。
アップデートがあると、ここに表示されます。アップデートがインストールされると、CVE-2022-1364 から保護された状態で Chrome が再起動します。
Source: Google
