ImpervaはGoogle Chromeにシンボリックリンクフォローの脆弱性を発見した。同脆弱性は、Google Chromeおよび「Chromium」ベースのブラウザの25億人以上のユーザーに影響を与えるとされている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Impervaは2023年1月11日(現地時間)、同社のWebサイトで「Google Chrome」にシンボリックリンクフォローの脆弱(ぜいじゃく)性を発見したと伝えた。
同脆弱性はCVE-2022-3656として特定されており、Google Chromeおよび「Chromium」ベースのブラウザの25億人以上のユーザーに影響を与える可能性がある。
Impervaは、CVE-2022-3656の影響力を確認するためのPoC(概念実証)を「SymStealer」として作成し、実際にユーザーのファイルシステムからファイルが窃取可能であることを確認している。これを悪用されると、暗号ウォレットやクラウドプロバイダーの認証情報などの機密ファイルが窃取される可能性があるため注意が必要だ。
CVE-2022-3656は共通脆弱性評価システム(CVSS)スコア値で8.8と分析されており、深刻度は「重要」(High)に分類されている。Impervaは既に同脆弱性についてGoogleに情報を提供済みだ。同社によれば、本問題は「Google Chrome 107」で修正されたが解決しておらず、「Google Chrome 108」で完全に修正されたと説明されている。
Google Chromeは全世界で利用されているWebブラウザであり、脆弱性があった場合、その影響範囲も広いため注意が必要だ。迅速に最新版にアップデートしてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.