ハッキング大会“Pwn2Own 2021”で実証された攻撃に対処 ～「Google Chrome 89」にセキュリティ更新

「Google Chrome」v89.0.4389.128

　米Googleは4月13日（現地時間）、デスクトップ向け「Google Chrome」の最新安定版v89.0.4389.128を公開した。2件の脆弱性を修正したセキュリティアップデートとなっており、できるだけ早いアップデートが必要だ。

　1つ目は、匿名の研究者によって報告されたレンダリングエンジン「Blink」における解放後メモリ利用（Use-after-free）の欠陥（CVE-2021-21206）。これを悪用した攻撃も報告されているとのことで警戒が必要だ。

　2つ目は、スクリプトエンジン「V8」（x86_64）で信頼できない入力の検証が不十分であった問題（CVE-2021-21220）。4月上旬にトレンドマイクロのZero Day Initiative（ZDI）が開催したハッキング大会“Pwn2Own 2021”で、セキュリティベンダーDataflow Securityのチームが「Chrome」のレンダラーと「Microsoft Edge」を攻略するために用いられた。同チームはこの攻撃の実演に成功したことで、総額10万ドルを獲得している。

　デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、64bit版を含むWindows 7/8/8.1/10に対応する。すでにインストールされている場合は自動で更新されるが、設定画面（chrome://settings/help）から手動でアップデートすることもできる。