ニュース
早急なアップデートを ~ゼロデイ脆弱性2件を修正した「Google Chrome」v95.0.4638.69
中国のハッキングコンテスト「天府杯」で「Chrome」攻略に使われた問題2件にも対処
2021年10月29日 08:58
米Googleは10月28日(現地時間)、デスクトップ向け「Google Chrome」の最新安定版v95.0.4638.69を公開した。本バージョンは、8件の脆弱性に対処したセキュリティアップデートとなっている。
このうち、CVE番号が公表されている問題は以下の7件。深刻度はいずれも4段階中上から2番目の「High」と評価されている。
- CVE-2021-37997:サインインにおける解放後メモリ利用
- CVE-2021-37998:ガベージコレクションにおける解放後メモリ利用
- CVE-2021-37999:新規タブページにおける不十分なデータ検証
- CVE-2021-38000:インテントからの信頼されない入力が十分に検証されない問題
- CVE-2021-38001:「V8」における型混乱
- CVE-2021-38002:「Web Transport」における解放後メモリ利用
- CVE-2021-38003:「V8」における不適切な実装
なかでも「CVE-2021-38000」と「CVE-2021-38003」はすでに悪用が確認されており、警戒が必要。また、「CVE-2021-38001」「CVE-2021-38002」は中国のハッキングコンテスト「天府杯」(Tianfu Cup)で報告されたもので、すでに攻撃手段が知られている。今後マルウェアに悪用されることも予想されるので、できるだけ早い対応が望ましい。
そのほかにも、内部監査やファジングで発見された不具合が修正されているという。
デスクトップ向け「Google Chrome」安定版はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、64bit版を含むWindows 7/8/8.1/10に対応する。すでにインストールされている場合は自動で更新されるが、設定画面(chrome://settings/help)などから手動でアップデートすることもできる。