Chrome が緊急のゼロデイ フィックスを発行 - 今すぐアップデート！

Google は、今週初めに Chrome および Chromium ブラウザ コードの一連のセキュリティ修正を公開しました…

…サイバーセキュリティ会社アバストの研究者から同じ日に脆弱性レポートを受け取るだけです。

Googleの対応は押し出すことでした 別の更新 できるだけ早く: 対処する XNUMX つのバグ修正 CVE-2022-3723、 Google の慣習として、確認も否定もできないという法律主義で次のように説明されています。

Google は、CVE-2022-3723 のエクスプロイトが実際に存在するという報告を認識しています。

(Apple は定期的に OMG-everybody-there's-an-0-day 通知という同様に非関与的なフレーバーを使用し、「[an] 問題が積極的に悪用された可能性があるというレポートを認識している」という趣旨の言葉を使用しています。)

この Chrome の更新は、現在 のバージョン番号を探していることを意味します 107.0.5304.87 以降。

紛らわしいことに、これは Mac または Linux で期待されるバージョン番号ですが、Windows ユーザーは取得する可能性があります。 107.0.5304.87 or 107.0.5304.88、そして、いいえ、なぜそこに XNUMX つの異なる数値があるのか​​わかりません。

価値のあるものとして、このセキュリティホールの原因は次のように説明されました 「V8 の型の混乱」、これは「JavaScript エンジンに悪用可能なバグがあり、信頼されていないコードと信頼されていないデータが明らかに外部から侵入したことによってトリガーされる可能性がある」という専門用語です。

大まかに言えば、ブービー トラップ Web サイト (それ自体が危険にさらされることは想定されていないもの) にアクセスして表示するだけで、不正なコードを起動し、ポップアップなしでデバイスにマルウェアを埋め込むのに十分な可能性があることはほぼ確実です。またはその他のダウンロード警告。

これは、サイバー犯罪の俗語で ドライブバイインストール.

「通報を承知」

サイバーセキュリティ会社がこの脆弱性を報告したこと、および XNUMX つのバグの更新がほぼ即時に公開されたことを考えると、この脆弱性は、顧客のコンピューターまたはネットワークへの侵入に対する積極的な調査の過程で明らかになったと推測しています。

予期しないまたは異常な侵入の後、明らかなエントリ パスがログに表示されない場合、脅威ハンターは通常、システムをつなぎ合わせようとして、自由に検出および対応ログのザラザラした詳細に目を向けます。何が起こったかのレベルの詳細。

ブラウザーのリモート コード実行 (RCE) エクスプロイトには、信頼されていないソースから予期しない方法で取得された信頼されていないコードの実行が含まれていることが多く、通常はログに表示されない新しい実行スレッドが開始されます…

…十分に詳細なフォレンジック「脅威対応」データへのアクセスは、犯罪者がどのように侵入したかだけでなく、システム内のどこで、どのようにして、通常は導入されているセキュリティ保護を回避できたのかを正確に明らかにする可能性があります。

簡単に言えば、攻撃を何度も再生し、それがどのように展開するかを観察できる環境で逆方向に作業すると、正確な作業ではないにしても、悪用可能な脆弱性の場所が明らかになることがよくあります。

そして、ご想像のとおり、干し草の山から針を安全に取り除くことは、干し草の山にあるすべての先のとがった金属オブジェクトのマップを最初に持っていれば、はるかに簡単です。

要するに、Google が Chrome を悪用して実際に攻撃を開始したという「報告を認識している」と述べた場合、これを「バグは本物であり、実際に悪用される可能性がありますが、私たちは実際にハッキングされたシステムを実際に調査したわけではないため、率直に言って「ねえ、みんな、ゼロデイだ」と言わなければ、まだ安全な場所にいます. 」

この種のバグ発見に関する良いニュースは、攻撃者が脆弱性とそれを悪用するために必要なトリックの両方を秘密にしたかったため、おそらくこのように展開されたことです。したがって、標的型攻撃での価値が低下します。

Mozilla、Microsoft、Apple、Google などの組織が不要なコード実行トリックに対してブラウザを強化するためにどれだけの労力を費やしているかを考えると、今日のブラウザ RCE エクスプロイトは、発見するのが非常に複雑で、取得するのに費用がかかる可能性があります。

つまり、Google の迅速なパッチ適用時間と、ほとんどのユーザーが迅速かつ自動的に (または少なくとも半自動的に) 更新プログラムを受け取るという事実は、残りの私たちが詐欺師に追いつくだけでなく、戻ってくることができることを意味します。彼らの前に。

何をするか？

Chrome は自動的に更新される可能性がありますが、常に確認することをお勧めします。

上記のように、あなたが探しているのは 107.0.5304.87 (Mac および Linux)、またはいずれか 107.0.5304.87 & 107.0.5304.88 （ウィンドウズ）。

　 その他 > カスタマーサービス > GoogleのChromeについて > Google Chromeを更新する.

ブラウザのオープンソース Chromium フレーバーも、少なくとも Linux では、現在バージョン 107.0.5304.87.

(Linux またはいずれかの BSD で Chromium を使用している場合は、ディストリビューション メーカーに確認して最新バージョンを取得する必要がある場合があります。)

Chrome の Android バージョンが影響を受けるかどうか、影響を受ける場合はどのバージョン番号に注意する必要があるかは不明です。

Android の今後のアップデートの発表については、Google の Chromeリリース ブログ。

すべての Apple App Store ブラウザは、Google の V8 JavaScript エンジンを使用しない Apple の WebKit ブラウジング サブシステムを使用する必要があるため、iOS および iPadOS 上の Chrome ベースのブラウザは影響を受けないと想定しています。

興味深いことに、[2022-10-29T14:00:00Z] の執筆時点で、Microsoft の Edge のリリース ノートには、2022 年 10 月 27 日 (このバグが研究者によって報告されてから 2022 日後) の更新が記載されていましたが、記載されていませんでした。そのビルドのセキュリティ修正の 3723 つとして CVE-XNUMX-XNUMX をリストし、番号を付けました 107.0.1418.24.

したがって、これより新しいバージョンの Edge を探すことは、Microsoft がこのホールに対する更新を公開したことを示していると想定しています。

Microsoft's 経由で Edge パッチを監視できます。 エッジ セキュリティ アップデート ページで見やすくするために変数を解析したりすることができます。

---