今週初め、インターネットセキュリティセンター(CIS)は、Google Chromeに任意のコード実行を可能にする脆弱性があることを明らかにしました。Googleはこのセキュリティ上の欠陥に対処するため、安定版チャンネルアップデートをリリースしましたが、すべてのChromeユーザーに展開されるまで、最大20億人が危険にさらされる可能性があります。
CISによると、攻撃者は「特別に細工されたウェブページ」を作成し、Chromeが依存するBlinkレンダリングエンジンの脆弱性を悪用する可能性があるという。これにより、Chromeユーザーがシステム上でブラウザに付与した権限に応じて、攻撃者は「ブラウザのコンテキスト内で任意のコードを実行したり、機密情報を取得したり、セキュリティ制限を回避して不正な操作を実行したり、サービス拒否状態を引き起こしたり」する可能性がある。
Googleは8月26日にChromeの安定チャンネルアップデートをリリースし、CISは8月27日にCVE-2019-5869の脆弱性を公開した。Googleは、このセキュリティ上の欠陥について、Qihoo 360 Technology Co. Ltdの成都セキュリティレスポンスセンターの研究者から6月26日に報告を受けたと述べている。これが事実だとすると、Googleはこの問題を知ってから61日後に対処したことになる。これは業界標準の90日間の猶予期間内だ。
同社はリリースノートで、Chromeの今回のアップデート(バージョン76.0.3809.132)は「今後数日/数週間かけて」展開されると述べています。このような段階的な展開は珍しくなく、特にGoogleのように多くのユーザーをChromeで管理している企業ではなおさらです。しかし、今回の脆弱性が公開されたということは、早ければ早いほど良いということです。皆さんも速やかにアップデートをインストールし、これらの攻撃から身を守ってくれることを願っています。
あなたがすべきこと
CIS は Chrome ユーザーに次のことを推奨しました。
適切なテストを行った後、Google が提供する安定チャンネルのアップデートを脆弱性のあるシステムに直ちに適用します。攻撃が成功した場合の影響を軽減するため、すべてのソフトウェアを非特権ユーザー(管理者権限のないユーザー)として実行します。信頼できないウェブサイトにアクセスしたり、不明または信頼できないソースから提供されたリンクをクリックしたりしないようユーザーに注意喚起します。特に信頼できないソースからの電子メールや添付ファイルに含まれるハイパーテキスト リンクによってもたらされる脅威について、ユーザーに通知し、教育します。すべてのシステムとサービスに最小権限の原則を適用します。
これらの推奨事項は、新たな脆弱性が公開されるたびにほぼ毎回発表されています。Windows、macOS、LinuxのChromeユーザーは、Chrome 76.0.3809.132へのアップデートが利用可能になり次第、これらの推奨事項に従う必要があります。ブラウザのモバイルユーザーは、この脆弱性の影響を受けません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
