Google Chromeへのゼロデイ攻撃はWindows 7の欠陥との合わせ技 ～Windows 10への更新を

公式ブログ“Google Online Security Blog”

　米Googleは3月7日（現地時間、以下同）、公式ブログ“Google Online Security Blog”で、「Google Chrome」のゼロデイ脆弱性（CVE-2019-5786）の詳細を明らかにした。

　“CVE-2019-5786”がGoogleに報告されたのは2月27日のことで、同社は3月1日、修正プログラムをすべてのプラットフォームの「Google Chrome」に対してリリースした。このアップデートは自動更新機能を通じてプッシュされているが、念のため手元の「Google Chrome」がv72.0.3626.121になっているかを確認した方がよいだろう。

　「Google Chrome」のバージョンは、ツールバー右端の縦に点が3つ並んだボタンをクリックし、［ヘルプ］－［Google Chrome について］メニューへアクセスすれば参照可能。アップデートの手動チェックも、このバージョン情報画面（chrome://settings/help）で行える。

バージョン情報画面（chrome://settings/help）

　なお、「Opera」や「Vivaldi」など、他の「Chromium」系ブラウザーにもアップデートが提供されている。こちらも忘れずにアップデートしておきたい。

　Googleによると、“CVE-2019-5786”を突いた攻撃を成功させるには、Windowsに存在する別の脆弱性を利用する必要がある。この脆弱性は特定の状況下で“NtUserMNDragOver()”システムコールを呼び出した際に“win32k!MNGetpItemFromIndex”でNULLポインターの参照が発生するというもので、“win32k.sys”カーネルドライバーでローカルの権限昇格につながる可能性がある。

　同脆弱性（CVE番号は未割り当て）はセキュリティサンドボックスの迂回に利用される恐れがあるが、新しいバージョンのWindowsには緩和策が追加されているため、悪用が可能なのはWindows 7のみであるという。実際、これまでに報告された悪用は、すべて32bit版Windows 7をターゲットにしたものだ。

　このWindowsのゼロデイ脆弱性は「Google Chrome」以外の製品と組み合わせて利用される可能性もあるため、Googleは同脆弱性をすでにMicrosoftへ報告済み。Microsoftは目下修正に取り組んでいるという。また、Googleはこうした脆弱性を緩和する取り組みとして、Windows 10へのアップグレードを検討するよう呼び掛けている。