ニュース

「Google Chrome」に深刻度「High」のゼロデイ脆弱性 ~すでに悪用の報告も

先週に続くセキュリティアップデートv96.0.4664.110が公開

「Google Chrome」v96.0.4664.110

 米Googleは12月13日(現地時間)、デスクトップ向け「Google Chrome」の最新安定版v96.0.4664.110を公開した。先週に続くセキュリティアップデートとなっている。

 本バージョンで修正された脆弱性は、以下の5件(括弧内は深刻度の評価)。

  • CVE-2021-4098:Insufficient data validation in Mojo(Critical)
  • CVE-2021-4099:Use after free in Swiftshader(High)
  • CVE-2021-4100:Object lifecycle issue in ANGLE(High)
  • CVE-2021-4101:Heap buffer overflow in Swiftshader(High)
  • CVE-2021-4102:Use after free in V8(High)

 なかでもスクリプトエンジン「V8」における解放後メモリ利用の脆弱性「CVE-2021-4102」はすでに悪用が確認されており、警戒が必要。

 また、深刻度が同社の基準で最も高い「Critical」と評価されている「CVE-2021-4098」にも注意が必要だ。C言語で書かれた中核コードとC++/JavaScript/Javaで書かれたコードの橋渡しをするバインディングAPI「Mojo」にデータ検証が十分でない問題があるという。「Mojo」は近年、古いプロセス間通信(Inter-Process Communication:IPC)に代わり採用され、「Chromium」の高速化に貢献している。

 デスクトップ向け「Google Chrome」安定版はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、64bit版を含むWindows 7/8/8.1/10に対応する。すでにインストールされている場合は自動で更新されるが、設定画面(chrome://settings/help)などから手動でアップデートすることもできる。

設定画面(chrome://settings/help)などから手動でアップデートすることもできる