サイトアイコン 小龍茶館

MacでChromeを利用している人は今すぐアップデートを!脆弱性あり

Googleは、ブラウザ「Chrome」において、最近攻撃で活発に利用されたゼロデイ脆弱性を突いたexploit(悪用ツール)に対策を施したバージョンをリリースしました。Mac/Windows/Linuxの全てのChromeユーザにできるだけ早くアップデートするように推奨されています。

Chromeのアップデート警告。あなたのChromeにも出ませんでしたか?

3月1日にリリースされたChromeのパッチは、CVE-2019-5786として識別されているセキュリティ上の欠陥のための修正がされています。その他の変更を加えずに、上記のセキュリティ問題を解決しただけのアップデートとなっていて、Chromeバージョン72.0.3626121までの、Mac/Windows/Linuxの3つのすべてのOS用Chromeに適用されます。

このセキュリティ上の欠陥はChromeのすべてのデスクトップ版に影響を及ぼしたといえますが、Windows 7に対してはより複雑な攻撃の一部をなすものであったため、Windowsユーザーにとって特に問題となっています。CNETによると、Chromeブラウザの欠陥がWindowsに対するより複雑な攻撃の一環として活発に使用されているということです。

Googleも、公式にChromeに対する悪用ツール(exploit)が「現実に存在する」ことを知らせるためのパッチの発表を行いました。GoogleのChrome Securityの責任者、Justin Schuhが上記の通りTwitterに投稿して、この脆弱性の存在を知らせ、ユーザーに新しいパッチを適用してブラウザを更新するように助言しています。

では、その脆弱性とは具体的にどんなものだったのでしょうか?

実は、問題があったのはChromeのFileReader APIのメモリ管理エラーでした。これにより、Webアプリケーションがデスクトップ上のローカルファイルを読み取ることができるようになってしまいます。具体的には、Chromeの割り当てられたメモリから解放または削除されたメモリにWebアプリケーションがアクセスしようとしたときの「解放後使用」の脆弱性として知られるメモリエラーがあったのです。この欠陥により悪意のあるコードが実行される可能性がある、というわけです。

Googleによれば、Google社内のThreat Analysis GroupのClement Lecigne氏が、このバグを発見した研究者として評価されています。外部の発見でなくてよかったですね。。

なお、iOS向けGoogle Chromeはこのセキュリティ上の問題の影響を受けないということなので、iPhone/iPadユーザは心配する必要はありません。私もChromeユーザですが、そういえばMacでChromeを使っていたら、先日このダイアログが出たのを思い出しました。普通はこんなのは出ないので、何か緊急に違いないと思ってすぐにアップデートしました。今後もChromeなどでこのような警告が出る場合は、すぐにアップデートすることをお勧めします。というより、ブラウザは常に最新版にアップデートすることをお勧めしたいと思います。

Chromeのアップデートは、右上の方の普段は縦3つの点が並んでいる設定メニューに緑の円に上向き矢印が入ったアイコンが現れるので、そこをクリックして、更新(アップデート)を選べば更新可能です。Chromeの再起動が必要となりますが、Chromeは動きが速いので問題ないですよね。

記事は以上です。

(記事情報元:Apple Insider

モバイルバージョンを終了