Chromeブラウザに欠陥があり、何十億人ものブラウザユーザーがハッキングの脅威にさらされる
GoogleはChromeブラウザ用の緊急セキュリティパッチを立ち上げたと伝えられている。Chrome ブラウザは脆弱なセキュリティ上の欠陥を持つため、ユーザーはハッカーに簡単に侵入できます。このセキュリティパッチは、2021 年 10 月 15 日(金)に Google が開始しました。
セキュリティ上の欠陥は CVE-2021-37973 と呼ばれます。抜け穴は、他のページを挿入として表示し、「以前に挿入されたページが高レベルのドキュメントになる新しい状態にシームレスに送信できる」WebページナビゲーションシステムであるPortals APIで無料で使用できます。
この脆弱性は、脅威分析グループ(TAG)のクレマン・レニェによって最初に検出されました。それでも、脆弱性の影響を受けるセキュリティの脆弱性は、ユーザーがセキュリティ更新プログラムを実装できるように、アクティブな悪用に関連しているため、より詳細に明らかにされていません。
一方、Googleは「CVE-2021-37973」のエクスプロイトが野生に存在することを認識しています。Chromeブラウザのセキュリティパッチのアップグレードは、AppleがChromeとMacOSの古いバージョンで積極的に悪用されたセキュリティ上の欠陥を閉鎖した翌日に開始されました。
Googleのセキュリティ向上は、クロムの11回目の「ゼロデイ」エクスプロイトを克服できると主張されています。この脆弱性は、Linux、MacOS、および Windows のブラウザー ユーザーに影響を及ぼします。情報については、「ゼロデイ」の悪用は、Googleがハッキングにつながる可能性のあるセキュリティアップデートを開始する前に、ハッカーがすでにギャップに入ることができることを意味します。
現在、Chromeブラウザには26億5000万人のユーザーがいます。その数はハッカーにとって簡単なターゲットです。ゼロデイは、ユーザーアフターフリー (UAF) の別の脆弱性です。Forbesは、UAFが被害者を搾取するためにハッカーによってしばしば使用されると報告しました。
Google の最新のセキュリティパッチは、2021 年の初めから Chrome ブラウザーで 12 のゼロデイ脆弱性を解決する可能性があります。
CVE-2021-21148 - V8 でのヒープ・バッファー・オーバーフロー
CVE-2021-21166 - オーディオのオブジェクトリサイクルの問題
CVE-2021-21193 - 点滅での使用後の無料
CVE-2021-21206 - 点滅での使用後の無料
CVE-2021-21220 - V8での信頼されていない入力の検証が不十分x86_64
CVE-2021-21224 - V8のタイプの混乱
CVE-2021-30551 - V8のタイプの混乱
CVE-2021-30554 - WebGL での使用後の使用
CVE-2021-30563 - V8のタイプの混乱
CVE-2021-30632 - V8で書き込む範囲外
CVE-2021-30633 - インデックス付き DB API での使用後の使用
このセキュリティ上の欠陥により、Chrome ユーザーはブラウザを最新バージョンの 94.0.4606.61 にすぐに更新することが期待されます。トリックは、ユーザーが設定に移動し、ヘルプをクリックし、「Google Chromeについて」を選択する必要があります。Chromeブラウザを更新することで、ハッキングされる可能性を減らすことが期待されます。