Google は、Google Chrome ブラウザでハッカーによって積極的に悪用されていると考えられるゼロデイ脆弱性に対処するため、予定外のアップデートをリリースした。これは、現在世界最大の市場シェアを誇るブラウザにおける、2023 年最初の重大なバグです。

CVE-2023-2033 として識別されるこの脆弱性は、Google の脅威分析グループ (TAG) の Clement Lecigne 氏によって 2023 年 4 月 11 日に報告されました。Google TAG は、政府が支援する脅威アクターによる高度に標的を絞った攻撃で悪用されるゼロデイ脆弱性を発見して報告することを任務とする専門家グループです。

重大度が高いと分類されているこの脆弱性は、V8 JavaScript エンジンにおける型の混乱の問題として説明されています。バージョン 112.0.5615.121 より前の Google Chrome の V8 の型エラーにより、リモートの攻撃者が細工した HTML ページを介してヒープ破損を悪用する可能性があります。

このバグにより、攻撃者がバッファ境界外のデータの読み取りや書き込みに成功すると、通常はブラウザのクラッシュを引き起こすことができますが、ハッカーが侵害したデバイス上でコードを実行することも可能になります。この脆弱性の深刻度が高いことから、Google は大多数のユーザーにパッチが適用されるまでバグの詳細へのアクセスを制限すると発表した。

このセキュリティ上の欠陥は、JavaScript V8 に依存し、パッチが適用されていないサードパーティのライブラリやプロジェクトにも存在するため、Google がアクセスを制限し続ける可能性もあります。

Microsoft Edge、Brave、Opera、Vivaldi などの Chromium ベースのブラウザのユーザーも、修正がリリースされ次第適用する必要があります。 Google Chrome の新しいバージョンを確認するには、ユーザーのブラウザから [Chrome] > [ヘルプ] > [Google Chrome について] に移動します。