すべてのChromeユーザーは、ブラウザの最新版(PCはバージョン86.0.4240.183、Androidはバージョン86.0.4240.185)をなるべく早くインストールしたほうがいいでしょう。
このパッチが排除するいくつかのセキュリティ上のバグには、ハッカーが積極的に悪用しているゼロデイ脆弱性が2つ含まれています。
ゼロデイ脆弱性とは?
ゼロデイ脆弱性とは、ソフトウエアやコンピューターシステム上の脆弱性で、修正パッチが配布されるなどの対応策が取られていないもののことです。
ゼロデイ脅威とは、正式版がリリースされる前のソフトウェアに見つかったセキュリティ上のバグで、正式リリース前にハッカーが既に悪用しているもののことです。
最初のゼロデイバグは、Chromeの最新のセキュリティパッチノートにCVE-2020-16009として記録されています。
この脆弱性は、デスクトップ上のChromeのV8 Javascriptコンポーネントに起因しますが、それ以外のことは、現時点ではほとんどわかっていません。
バグがどのように悪用されているのか、どのような種類の攻撃に対して脆弱なのかもはっきりしていません。
バグの内容とその被害
Androidのバグ、CVE-2020-16010は、CVE-2020-16009の直後に公開されました。このバグにより、AndroidアプリのUIの脆弱性を介して、リモートコードが実行される可能性があります。
2週間後に、ゼロデイバグに対処するパッチの第2ラウンドが予定されています。Chromeのフォントライブラリに影響を与える3番目のバグであるCVE-2020-15999に対しては、10月20日にパッチが適用されました。
このバグは、ハッカーがマルウェアをリモートでインストールできるようにして、Windows10で見つかった別のゼロデイバグと組み合わせて使用され、悪意のあるプログラムが被害者のシステムにさらに多くアクセスできるようにしました。
幸い、Chromeのこの3つのバグはすべて修正され、Windowsのバグのパッチがまもなくリリースされます。
Googleは10月20日にChromeのCVE-2020-15999のセキュリティパッチをリリース。
CVE-2020-16009とCVE-2020-16010の修正が、PCとAndroidで利用できるようになりました。
Microsoftは、来たる11月10日のパッチでWindows 10のバグを修正する予定なので、アンテナを張っておきましょう。
自動アップデートでゼロデイ攻撃は完全に防げない
ユーザーがデバイスで利用可能な最新バージョンのChromeにアップグレードすると、Chromeのバグは脅威ではなくなります。
デスクトップでは、Chromeはバックグラウンドでアップデートをダウンロードし、インストールすべきタイミングになるとアラートしますが、Chromeが自動的にパッチを適用できるというだけで安心して、安全だと思い込まないようにしましょう。
ゼロデイバグのセキュリティパッチは一般的ではありませんが、PCをマルウェアから保護するために無くてはならないものです。
残念ながら、最も優先度の高いパッチでさえ、すぐにすべてのユーザーに展開されるわけではなく、ユーザー側もインストールが遅れる人もいます。
たとえば、10月20日のセキュリティパッチをインストールしなかった場合、PCを脅かすゼロデイバグが少なくとも3つ発生した可能性があります。
自動更新がオンになっていても、Chromeのパッチを定期的にマニュアルで確認する必要があるのは、そのためです。
PCで、chrome:// settings / helpに行くか、ブラウザの右上の隅にある3つのドットの中にある「その他」のアイコンをクリックして、「設定」からサイドバーにある「Chromeについて」に行きましょう。
スマホやタブレットで、AppleのApp StoreかGoogle Playストアにアクセスすると、Chromeの最新のアップデートが手に入りますよ。
あわせて読みたい
Image: Shutterstock
Source: Google
Brendan Hesse – Lifehacker US[原文]