ニュース

Google Chromeへのゼロデイ攻撃はWindows 7の欠陥との合わせ技 ~Windows 10への更新を

Windowsの脆弱性はMicrosoftへ報告済み、現在修正中

公式ブログ“Google Online Security Blog”

 米Googleは3月7日(現地時間、以下同)、公式ブログ“Google Online Security Blog”で、「Google Chrome」のゼロデイ脆弱性(CVE-2019-5786)の詳細を明らかにした。

 “CVE-2019-5786”がGoogleに報告されたのは2月27日のことで、同社は3月1日、修正プログラムをすべてのプラットフォームの「Google Chrome」に対してリリースした。このアップデートは自動更新機能を通じてプッシュされているが、念のため手元の「Google Chrome」がv72.0.3626.121になっているかを確認した方がよいだろう。

 「Google Chrome」のバージョンは、ツールバー右端の縦に点が3つ並んだボタンをクリックし、[ヘルプ]-[Google Chrome について]メニューへアクセスすれば参照可能。アップデートの手動チェックも、このバージョン情報画面(chrome://settings/help)で行える。

バージョン情報画面(chrome://settings/help)

 なお、「Opera」や「Vivaldi」など、他の「Chromium」系ブラウザーにもアップデートが提供されている。こちらも忘れずにアップデートしておきたい。

 Googleによると、“CVE-2019-5786”を突いた攻撃を成功させるには、Windowsに存在する別の脆弱性を利用する必要がある。この脆弱性は特定の状況下で“NtUserMNDragOver()”システムコールを呼び出した際に“win32k!MNGetpItemFromIndex”でNULLポインターの参照が発生するというもので、“win32k.sys”カーネルドライバーでローカルの権限昇格につながる可能性がある。

 同脆弱性(CVE番号は未割り当て)はセキュリティサンドボックスの迂回に利用される恐れがあるが、新しいバージョンのWindowsには緩和策が追加されているため、悪用が可能なのはWindows 7のみであるという。実際、これまでに報告された悪用は、すべて32bit版Windows 7をターゲットにしたものだ。

 このWindowsのゼロデイ脆弱性は「Google Chrome」以外の製品と組み合わせて利用される可能性もあるため、Googleは同脆弱性をすでにMicrosoftへ報告済み。Microsoftは目下修正に取り組んでいるという。また、Googleはこうした脆弱性を緩和する取り組みとして、Windows 10へのアップグレードを検討するよう呼び掛けている。