United States Computer Emergency Readiness Team (US-CERT)は8月11日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、GoogleがWebブラウザ「Google Chrome」の最新版となるChrome 84.0.4147.125をWindows、macOS、Linux向けにリリースしたと伝えた。
このリリースには複数の脆弱性に対応するための修正が含まれており、もし脆弱性を放置した場合は、悪意のある攻撃者によってシステムの制御権が乗っ取られるなどの被害を受ける危険性があるという。
-
Google Releases Security Updates for Chrome | CISA
最新版のリリースに関する詳細は次のページにまとめられている。
Googleによれば、このアップデートには合計15個のセキュリティ修正が含まれているとのこと。そのうち、公開されているCVEベースの脆弱性は以下の通り。
- CVE-2020-6542: グラフィックエンジンANGLEにおけるUse After Free(解放後のメモリへのアクセス許容)
- CVE-2020-6543: タスクスケジューリングにおけるUse After Free
- CVE-2020-6544: mediaにおけるUse After Free
- CVE-2020-6545: audioにおけるUse After Free
- CVE-2020-6546: インストーラにおける不適切な実装
- CVE-2020-6547: mediaの不正なセキュリティUI
- CVE-2020-6548: グラフィックスライブラリskiaにおけるヒープバッファオーバーフロー
- CVE-2020-6549: mediaにおけるUse After Free
- CVE-2020-6550: IndexedDBにおけるUse After Free
- CVE-2020-6551: WebXRにおけるUse After Free
- CVE-2020-6552: HTMLレンダリングエンジンBlinkにおけるUse After Free
- CVE-2020-6553: オフラインモードにおけるUse After Free
- CVE-2020-6554: 拡張機能におけるUse After Free
- CVE-2020-6555: WebGLにおける範囲外のメモリの読み取り
これらの脆弱性のうち12件は重要度が「高(High)」に分類されており、注意が必要。Googleでは、数日から数週間以内に、この新バージョンをユーザーに対して展開していくという。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対して上記セキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
