「Google Chrome」もハッキング大会「Pwn2Own」で明かされた欠陥に対処、他にも致命的な脆弱性【3月28日追記】

「Google Chrome」にアップデート。Windows環境にはv123.0.6312.86/.87が展開中

　米Googleは3月26日（現地時間）、デスクトップ向け「Google Chrome」の安定（Stable）チャネルをアップデートした。Windows/Mac環境にはv123.0.6312.86/.87が、Linux環境にはv123.0.6312.86が順次展開される。

　今回のリリースは、7件の脆弱性を修正したセキュリティアップデート。CVE番号が明らかにされているのは、以下の4件だ。

• CVE-2024-2883：グラフィックレイヤーエンジン「ANGLE」における解放後メモリ利用（Critical）
• CVE-2024-2885：WebGPU実装「Dawn」における解放後メモリ利用（High）
• CVE-2024-2886：「WebCodecs」における解放後メモリ利用（High）
• CVE-2024-2887：「WebAssembly」における型混乱（High）

先日開催されたハッキングコンテスト「Pwn2Own Vancouver 2024」で実際に用いられた

　このうち「CVE-2024-2886」と「CVE-2024-2887」は、先日開催されたハッキングコンテスト「Pwn2Own Vancouver 2024」で実際に用いられたものだ。任意コードの実行に悪用できることが実証されており、警戒を要する。

　そのほかにも、内部監査やファジングで発見された不具合も修正されているとのこと。

　デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、Windows 10/11に対応している。すでにインストールされている場合は自動で更新されるが、設定画面（chrome://settings/help）にアクセスすれば手動でアップデート可能。アップデートを完全に適用するには、「Google Chrome」の再起動が必要だ。

［2024年3月28日編集部追記］ 「Microsoft Edge」のリリースノートによると、「Google Chrome」でも修正された「CVE-2024-2883」はすでに悪用が確認されているゼロデイ脆弱性であるとのこと。