GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Googleは2023年9月上旬、「Google Chrome 116.0.5845.187」より以前のバージョンにヒープバッファオーバーフローの脆弱(ぜいじゃく)性が存在するとして、その情報を開示するとともに修正版の配信を開始した。
今回修正対象となる脆弱性はCVE-2023-4863として特定されている。これを悪用されると、遠隔からサイバー攻撃者によって、細工されたHTMLページを使って許可されていないメモリ領域への書き込みが可能になる。
CVE-2023-4863は共通脆弱性評価システム(CVSS)v3スコア値8.8で深刻度は「重要」(High)と評価されている。Chromiumのセキュリティ基準では深刻度は「緊急」(Critical)に分類される。どちらにせよ迅速なアップデートが求められる。
一点注意したいのは、CVE-2023-4863が公開されたとき、セキュリティ研究者らが、Google Chromeの脆弱性として脆弱性情報データベース(CVE)に登録されたことを疑問視していた点だ。
今回の脆弱性は画像フォーマット「WebP」向けライブラリ(libwebp)に存在するもので、このライブラリはGoogle Chromeだけでなく他のアプリケーションにも利用されている。そのため研究者らはGoogle Chromeの脆弱性としてCVEが登録されたことは不適切だと指摘していた。
これを受けてか、該当するWebPライブラリの脆弱性がCVE-2023-5129として2023年9月25日に新たにCVEで公開された。CVE-2023-5129ではCVSSのスコア値10.0と評価され、深刻度は最も高い「緊急」(Critical)に分類されている。
該当ライブラリを使用している場合、アップデートを迅速に適用することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.