CVSSは「10.0」 WebPライブラリに脆弱性が見つかる、急ぎ対処を:セキュリティニュースアラート
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Googleは2023年9月上旬、「Google Chrome 116.0.5845.187」より以前のバージョンにヒープバッファオーバーフローの脆弱(ぜいじゃく)性が存在するとして、その情報を開示するとともに修正版の配信を開始した。
CVSSのスコア値は「10.0」 WebPライブラリの脆弱性に注意
今回修正対象となる脆弱性はCVE-2023-4863として特定されている。これを悪用されると、遠隔からサイバー攻撃者によって、細工されたHTMLページを使って許可されていないメモリ領域への書き込みが可能になる。
CVE-2023-4863は共通脆弱性評価システム(CVSS)v3スコア値8.8で深刻度は「重要」(High)と評価されている。Chromiumのセキュリティ基準では深刻度は「緊急」(Critical)に分類される。どちらにせよ迅速なアップデートが求められる。
一点注意したいのは、CVE-2023-4863が公開されたとき、セキュリティ研究者らが、Google Chromeの脆弱性として脆弱性情報データベース(CVE)に登録されたことを疑問視していた点だ。
今回の脆弱性は画像フォーマット「WebP」向けライブラリ(libwebp)に存在するもので、このライブラリはGoogle Chromeだけでなく他のアプリケーションにも利用されている。そのため研究者らはGoogle Chromeの脆弱性としてCVEが登録されたことは不適切だと指摘していた。
これを受けてか、該当するWebPライブラリの脆弱性がCVE-2023-5129として2023年9月25日に新たにCVEで公開された。CVE-2023-5129ではCVSSのスコア値10.0と評価され、深刻度は最も高い「緊急」(Critical)に分類されている。
該当ライブラリを使用している場合、アップデートを迅速に適用することが望まれる。
関連記事
なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。
5つの事例で学ぶクラウドセキュリティ なぜインシデントは減らないのか?
クラウドサービスの利用が進む今、企業のサイバーレジリエンス能力を高めるためにはこの部分のセキュリティをおろそかにはできない。事例を通して、注意すべきポイントを解説する。
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。
今こそ見直すべきランサムウェア対策 脆弱性管理からバックアップまでのポイントは
ランサムウェア攻撃が激化する今、サイバーレジリエンスの強化が企業には求められている。では具体的に何をすればいいのか。脆弱性管理からバックアップのポイントを解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。