Google は、Chrome に新たに発生したゼロデイ セキュリティ脆弱性を修正する緊急セキュリティ アップデートをリリースしました。 「Googleは、CVE-2023-4863の脆弱性が外部から悪用されていることを認識している」と同社はセキュリティ勧告で発表した。 「ヒープ バッファ オーバーフローとして説明されるこの問題は、WebP 画像形式に存在します。」
ヒープ バッファ オーバーフローは、プログラムが割り当てられたメモリ バッファにバッファの実際の設計容量を超えるデータを書き込もうとしたときに発生します。場合によっては、この脆弱性により攻撃者が任意のコードを実行できる可能性があり、影響を受けるシステム上で任意のコードを実行できる可能性があります。
Apple の Security Engineering and Architecture (SEAR) とトロント大学の Munk School Citizen Lab は、2023 年 9 月 6 日にこの脆弱性を発見して報告しました。ただし、Google は脆弱性の詳細を開示せず、攻撃者による脆弱性の悪用方法に関する情報も提供していません。
Chrome ブラウザ ユーザーは、ブラウザを最新バージョン (Mac および Linux の場合は 116.0.5845.187、Windows の場合は 116.0.5845.187.188) に更新することを強くお勧めします。このアップデートは CVE-2023-4863 脆弱性を解決するため重要です。
新しいバージョンは現在、Stable および Extended Stable チャネルのユーザーに展開されており、今後数日または数週間以内にすべてのユーザーに展開される可能性があります。 Windows PC の Chrome メニュー > ヘルプ > Google Chrome についてで新しいアップデートを確認すると、アップデートをダウンロードできました。
この最新の脆弱性は、Googleが8月に安定したChromeブラウザユーザー向けに毎週セキュリティアップデートをリリースすると発表した後に出現した。同社は、セキュリティ上の脆弱性が実際に活発に悪用されていることが発見された場合、直ちにそれに対処し、Chrome ブラウザ向けに予定外のパッチをリリースすると述べた。