United States Computer Emergency Readiness Team (US-CERT)は11月3日(米国時間)、「Google Releases Security Updates for Chrome, CVE-2020-16009|CISA」において、GoogleがWebブラウザ「Google Chrome」の最新版となるChrome 86.0.4240.183をWindows、macOS、Linux向けにリリースしたことを伝えた。このリリースには複数の脆弱性に対する修正が含まれており、そのうちの1件はすでに実際の攻撃に使われたことが確認されているゼロデイ脆弱性に当たるという。
最新版のリリースに関する詳細は次のページにまとめられている。
今回リリースされたプロダクトおよびバージョンは次のとおり。
- Google Chrome version 86.0.4240.183 for Windows
- Google Chrome version 86.0.4240.183 for Mac
- Google Chrome version 86.0.4240.183 for Linux
Googleによれば、このアップデートには次に挙げるCVEベースの脆弱性を含む合計10件のセキュリティ修正が含まれているとのこと。
- CVE-2020-16004: ユーザーインタフェースにおける解放後のメモリ使用(Use After Free)
- CVE-2020-16005: ANGLEにおけるポリシー適用の不備
- CVE-2020-16006: JavaScriptエンジン「V8」におけるの不適切な実装
- CVE-2020-16007: インストーラにおける不十分なデータ検証
- CVE-2020-16008: WebRTCにおけるスタックバッファオーバーフロー
- CVE-2020-16009: JavaScriptエンジン「V8」におけるの不適切な実装
- CVE-2020-16011: Windows版のユーザーインタフェースにおけるヒープバッファオーバーフロー
Googleによれば、このうちのCVE-2020-16009については実際に攻撃に利用されたことが報告されているとのことで、特に注意が必要となる。上に挙げた7件の脆弱性は、いずれも深刻度「高(High)」に分類されている。
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックした上で早急にアップデートを適用することを推奨している。