12月7日、Googleは、サポートされているすべてのデスクトッププラットフォームでのChrome 96.0.4664.93ブラウザと、Androidでのモバイルバージョンのセキュリティアップデートをリリースしました。
このアップデートには、主に20の異なるセキュリティ問題に対するセキュリティパッチが含まれています。それらの多くは、「重大」に次いで2番目に重要な「高」の危険度を持っています。
新しいバージョンのChromeは、サポートされているプラットフォームに現在インストールされているChromeとともに自動的に出荷されます。ユーザーは、[メニュー]> [ヘルプ]> [Google Chromeについて]に移動すると、アップデートをすばやく入手できます。この場合、現在のブラウザバージョンの番号が記載された情報ページが開き、利用可能なアップデートのチェックとその後のインストールが開始されます。
Android版の場合、アップデートはGoogle Playサービスを使用して配信されるため、モバイルChromeでこのページを開いても、アップデートのダウンロードは初期化されません。
Chromeリリースのブログには、独立した研究者によって特定されたすべてのセキュリティ修正がリストされています。脆弱性のほとんどは11月に特定され、10月にいくつか、8月に1つ特定されました。
ハイリスクCVE-2021-4052:Webアプリケーションにおけるメモリ使用後の脆弱性。
ハイリスクCVE-2021-4053:フロントエンドシェルでデータエクスプロイトを解放した後。
高リスクCVE-2021-4054:オートコンプリートのセキュリティインターフェイスが無効です。
ハイリスクCVE-2021-4055:拡張機能におけるヒープバッファオーバーフローの脆弱性。
High Risk CVE-2021-4056:ロードモジュールのタイプの不一致の脆弱性。
ハイリスクCVE-2021-4057:ポストフリーAPIデータエクスプロイトの脆弱性。
高リスクCVE-2021-4058:ANGLEでのヒープバッファオーバーフローの脆弱性。
高リスクCVE-2021-4059:ロードモジュールでのデータ検証が不十分です。
High Risk CVE-2021-4061:Javascript EngineV8のタイプの不一致の脆弱性。
高リスクCVE-2021-4062:BFCacheのヒープバッファオーバーフローの脆弱性。
高リスクCVE-2021-4063:開発者ツールのデータ悪用の脆弱性を解放した後。
ハイリスクCVE-2021-4064:スクリーンショットツールでデータ悪用の脆弱性を解放した後。
ハイリスクCVE-2021-4065:オートコンプリートメカニズムのデータエクスプロイトの脆弱性を解放した後。
高リスクCVE-2021-4066:ANGLEにおける低限界整数オーバーフローの脆弱性。
高リスクCVE-2021-4067:ウィンドウマネージャーでデータエクスプロイトを解放した後。
低リスクCVE-2021-4068:新しいタブページでの信頼できないデータの検証が不十分です。
パッチが適用された脆弱性のいずれも、重大度の評価を受けませんでした。 Googleは、実際の攻撃におけるパッチが適用された脆弱性の悪用については言及していません。
Googleによると、Androidのアップデートには、安定性とパフォーマンスの向上が含まれています。修正されたセキュリティの問題については触れられていません。
ほとんどのChromiumベースのブラウザも、これらの脆弱性の少なくとも一部の影響を受けます。 Microsoft EdgeやBraveなど、このプラットフォーム上の他のブラウザーも、これらの問題に対処するセキュリティ更新プログラムをまもなく受信します。
2021-12-07 17:47:25
著者: Vitalii Babkin