米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月5日、「Google Releases Security Updates for Chrome|CISA」において、GoogleがWebブラウザChromeの最新版「Chrome 97.0.4692.71」をWindows、MacおよびLinux向けにリリースしたと伝えた。このリリースには、影響度がCritical(緊急)の脆弱性1件を含む、計37件の脆弱性に対する修正が含まれており、早急にアップデートすることが推奨される。
Chrome 97.0.4692.71のリリースに関する情報は次のページにまとめられている。
-
Google Chrome 97.0.4692.71 for macOS
今回修正対象の37件の脆弱性のうち、CVEベースで情報が公開されているものは次のとおり([]内は各脆弱性の影響度)。
- [緊急] CVE-2022-0096: ストレージにおける解放後のメモリ使用(Use After Free)
- [高] CVE-2022-0097: 開発者ツール(DevTools)における不適切な実装
- [高] CVE-2022-0098: スクリーンキャプチャにおける解放後のメモリ使用
- [高] CVE-2022-0099: Sign-inにおける不適切な実装
- [高] CVE-2022-0100: Media Streams APIにおけるヒープバッファオーバーフロー
- [高] CVE-2022-0101: ブックマークにおけるヒープバッファオーバーフロー
- [高] CVE-2022-0102: JavaScriptエンジンV8における型の取り違え(Type Confusion)
- [高] CVE-2022-0103: OpenGL ES実装のSwiftShaderにおける解放後のメモリ使用
- [高] CVE-2022-0104: 3DグラフィックスエンジンANGLEにおけるヒープバッファオーバーフロー
- [高] CVE-2022-0105: PDFにおける解放後のメモリ使用
- [高] CVE-2022-0106: オートフィルにおける解放後のメモリ使用
- [中] CVE-2022-0107: File ManagerAPIにおける解放後のメモリ使用
- [中] CVE-2022-0108: ナビゲーションにおける不適切な実装
- [中] CVE-2022-0109: オートフィルにおける不適切な実装
- [中] CVE-2022-0110: オートフィルにおける不正なセキュリティUI
- [中] CVE-2022-0111: ナビゲーションにおける不適切な実装
- [中] CVE-2022-0112: ブラウザUIにおける不正なセキュリティUI
- [中] CVE-2022-0113: HTMLレンダリングエンジンBlinkにおける不適切な実装
- [中] CVE-2022-0114: Web Serial APIにおける範囲外のメモリアクセス
- [中] CVE-2022-0115: File APIにおける初期化されていないメモリの使用
- [中] CVE-2022-0116: コンポーネントにおける不適切な実装
- [低] CVE-2022-0117: Service Workersにおけるポリシーのバイパス
- [低] CVE-2022-0118: Web Share APIにおける不適切な実装
- [低] CVE-2022-0120: パスワードにおける不適切な実装
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報を確認した上でできるだけ早く必要なアップデートを適用することを推奨している。
NEC、大阪・関西万博の落合陽一氏のパビリオンである「null2」に技術提供
