Chromeユーザーの皆さん、ブラウザアップデートの時が来ました。

Googleは5月15日(水)にWindows、Mac、LinuxのChromeのアップデートをリリースしました。ブラウザのウィンドウの隅にある「アップデート」ボタンは無視しがちですが、絶対に無視してはいけません。

一刻も早いアップデートが必要な脆弱性

Chrome 125には9つのセキュリティ脆弱性に対するパッチが含まれています。セキュリティの欠陥はできるだけ早く修正することが重要ですが、今回特に懸念されているものがあります。

その欠陥はCVE-2024-4947として追跡されており、「V8」における型混乱(Type Confusion)の脆弱性で、コードの一部が渡されるオブジェクトを検証しない場合に発生します。言い換えれば、間違った関数が間違ったコードに付与されることになり、悪意ある攻撃者はこれを利用して、デバイス上で独自のコードを実行できてしまう可能性があるのです。

どうしてそんなに深刻なのか?

この種の欠陥は十分に悪質ですが、それだけでこのように特別視されるとは限りません。CVE-2024-4947がこれほど厄介なのは、それがゼロデイであり、野放しでアクティブに悪用されている欠陥だからです。

つまり、悪質な行為者はこの脆弱性を認知しているだけでなく、それを利用して実際にハッキングしているということ。

Googleのようなテック企業がゼロデイに関するこれ以上の情報を提供してくれることはめったにありませんが、このような欠陥が確認された場合、できるだけ早く自分のデバイスをアップデートするよう頭の中では警告サインが出ているはずです。

さらに悪いことに、Googleが今月確認したChromeに影響するゼロデイ脆弱性はこれで3つ目です。

5月9日、グーグルはデスクトップ・クローム・アプリのアップデートをリリースし、CVE-2024-4671(メモリ使用後にプログラムがメモリへのポインタをクリアしないuse-after-free脆弱性)のパッチを公開。続いて5月13日、悪意あるユーザーが本来アクセスできないはずのデータにアクセスできるようにする境界外書き込みの脆弱性CVE-2024-4761にパッチを当てるアップデートをリリースしました。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、「Known Exploited Vulnerabilities(実際に悪用が確認された脆弱性のリスト)」にこの3つの脆弱性すべてを追加しています。

連邦政府機関は6月10日までにChromeブラウザをアップデートする必要があります。猶予期間は大いにありますが、筆者なら今すぐアップデートするでしょう

Google Chromeのアップデート方法

Google Chromeをアップデートするには、あらかじめ設定されていれば「アップデート」ボタンをクリックしてください。

そうでない場合は、ウィンドウの右上にある3点アイコンをクリックし、「ヘルプ」>「Google Chromeについて」と進みます。

Chromeにアップデートの有無を確認させて、アップデートがプリセットされている場合は、画面の指示に従ってダウンロードとインストールを行ないましょう。

Source: Chrome Releases(1, 2, 3), Microsoft, Kaspersky IT Encyclopedia, Security Boulevard, Forbes