もう1つのゼロデイエクスプロイト:Chromeブラウザを更新する時間

もう1つのゼロデイエクスプロイト:Chromeブラウザを更新する時間

ほんの一週間前、 GoogleはChromeデスクトップブラウザのインクリメンタルアップデートを公開しました これには、さまざまな重要なセキュリティ更新が含まれていました。そのアップデートで、Chrome開発者チームは、脆弱性の1つが実際に悪用されていることを明らかにしました。これが発生すると、ソフトウェア開発者は攻撃前に弱点に気づかなかったため、ゼロデイエクスプロイトと呼ばれます。 Chromeブラウザの最新のアップデートには4つのセキュリティパッチしか含まれていませんが、4つはそれぞれ高とマークされており、重要なアップデートであることを意味します。パッチの1つには、Googleが実際に悪用されていることを確認した脆弱性の修正が含まれています。

バグCVE-2021-30554は匿名の情報源によって報告されており、発見の報奨金はまだ決定されていません。 Googleは、バグがどの程度正確に悪用されたかについての詳細を明らかにすることを拒否しました。これにより、ユーザーはブラウザを更新してそれ以上の攻撃を防ぐための十分な時間を確保できる可能性があります。この特定のバグはWebGLに関連しており、無料の脆弱性の後にユーザーとして識別されています。どういう意味ですか?これが何を意味するのか簡単な説明です。

Use After Freeは、具体的には、解放された後にメモリにアクセスしようとする試みを指します。これにより、プログラムがクラッシュしたり、Use-After-Freeの欠陥の場合、任意のコードが実行されたり、有効になったりする可能性があります。完全なリモートコード実行機能。

Webopedia

言うまでもなく、先に進んでChromeブラウザが最新であることを確認することをお勧めします。このバグの修正を含む最新バージョンは91.0.4472.114です。 Windows、Linux、またはmacOSでChromeを使用している場合は、設定メニューの[Chromeについて]セクションに移動して、更新を確認することをお勧めします。私の計算が正しければ、これは今年のChromeブラウザの7番目の既知のゼロデイエクスプロイトです。ありがたいことに、それは非常に迅速に発見され、パッチが適用されたようです。以下に、4つのセキュリティパッチとそれに対応するCVEの割り当てを示します。

  • [$ TBD] [ 1219857 ] 高い CVE-2021-30554:WebGLで解放後に使用します。 2021-06-15に匿名で報告
  • [$ 10000] [ 1215029 ] 高い CVE-2021-30555:共有で解放された後に使用します。 2021-06-01にDavidErcegによって報告されました
  • [$ 7500] [ 1212599 ] 高い CVE-2021-30556:WebAudioで解放後に使用します。 2021-05-24に360ATAのYangkang(@dnpushme)によって報告されました
  • [$ 10000] [ 1202102 ] 高い CVE-2021-30557:TabGroupsで解放後に使用します。 2021-04-23にDavidErcegによって報告されました