CVSSは「10.0」 WebPライブラリに脆弱性が見つかる、急ぎ対処を:セキュリティニュースアラート
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。
Googleは2023年9月上旬、「Google Chrome 116.0.5845.187」より以前のバージョンにヒープバッファオーバーフローの脆弱(ぜいじゃく)性が存在するとして、その情報を開示するとともに修正版の配信を開始した。
CVSSのスコア値は「10.0」 WebPライブラリの脆弱性に注意
今回修正対象となる脆弱性はCVE-2023-4863として特定されている。これを悪用されると、遠隔からサイバー攻撃者によって、細工されたHTMLページを使って許可されていないメモリ領域への書き込みが可能になる。
CVE-2023-4863は共通脆弱性評価システム(CVSS)v3スコア値8.8で深刻度は「重要」(High)と評価されている。Chromiumのセキュリティ基準では深刻度は「緊急」(Critical)に分類される。どちらにせよ迅速なアップデートが求められる。
一点注意したいのは、CVE-2023-4863が公開されたとき、セキュリティ研究者らが、Google Chromeの脆弱性として脆弱性情報データベース(CVE)に登録されたことを疑問視していた点だ。
今回の脆弱性は画像フォーマット「WebP」向けライブラリ(libwebp)に存在するもので、このライブラリはGoogle Chromeだけでなく他のアプリケーションにも利用されている。そのため研究者らはGoogle Chromeの脆弱性としてCVEが登録されたことは不適切だと指摘していた。
これを受けてか、該当するWebPライブラリの脆弱性がCVE-2023-5129として2023年9月25日に新たにCVEで公開された。CVE-2023-5129ではCVSSのスコア値10.0と評価され、深刻度は最も高い「緊急」(Critical)に分類されている。
該当ライブラリを使用している場合、アップデートを迅速に適用することが望まれる。
関連記事
- なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。 - 5つの事例で学ぶクラウドセキュリティ なぜインシデントは減らないのか?
クラウドサービスの利用が進む今、企業のサイバーレジリエンス能力を高めるためにはこの部分のセキュリティをおろそかにはできない。事例を通して、注意すべきポイントを解説する。 - NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。 - 今こそ見直すべきランサムウェア対策 脆弱性管理からバックアップまでのポイントは
ランサムウェア攻撃が激化する今、サイバーレジリエンスの強化が企業には求められている。では具体的に何をすればいいのか。脆弱性管理からバックアップのポイントを解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.