Google Chromeの脆弱性、実は「ゼロデイ」だった

[鈴木聖子，ITmedia]

Google Chromeのブログ

　米Googleは、Webブラウザ安定版「Chrome 72」の3月1日付のアップデートで対処した脆弱性について、修正前に悪用されるゼロデイ攻撃が発生していたことを明らかにした。

　Chrome最新版の「72.0.3626.121」では、FileReaderに存在する解放後使用の脆弱性（CVE-2019-5786）が修正されていた。影響を受けるのはデスクトップ向けのChromeで、危険度は「高」の分類だった。

　これについてGoogleは3月5日にブログを更新し、CVE-2019-5786の脆弱性を突く悪用コードが出回っているとの報告が入っていたことを明らかにした。脆弱性は、Googleの研究者によって2019年2月27日に発見されたという。

　セキュリティ企業Sophosのブログによると、FileReaderはWeb開発者が使用するプログラミングツールで、例えばユーザーがアップロードするファイルを選ぶ際に、ローカルファイルの一覧を表示するポップアップメニューの作成などに使われる。

　今回の脆弱性を悪用されれば、細工を施したWebページを使ってリモートでコードを実行され、コンピュータを制御される可能性もあるという。

　この脆弱性に関連して、Googleエンジニアのジャスティン・シュー氏は「先週は本物のゼロデイと、偽のゼロデイに同時に対応を強いられた」とツイートし、「今すぐChromeを更新してほしい」と呼び掛けている。

　CVE-2019-5786の脆弱性は、3月5日に公開されたChrome OSの更新版「72.0.3626.122」でも修正された。