もし現在、WindowsやMac、LinuxでChromeブラウザを使っているなら、今すぐアップデートすべきです。Googleは現地時間2月4日、非常に深刻な脆弱性を修正したアップデート(バージョン88.0.4324.150)をリリースしました。
セキュリティ深刻度「高い」脆弱性
Googleはセキュリティ深刻度を「高い(high)」とし、今回修正した脆弱性が「CVE-2021-21148: ヒープベースのバッファオーバーフロー」であると説明しています。
米メディアZDNetによると、「CVE-2021-21148」とはゼロデイ攻撃のIDであり、V8(JavaScriptエンジン)において、確保したメモリ領域(バッファ)を超えてデータが入力されることを許してしまう脆弱性を示しているとのことです。
北朝鮮のハッカーが攻撃を仕掛けていた
GoogleによればChromeのこのバグは、セキュリティリサーチャーのマティアス・ブーレンズ氏によって1月24日に発見、報告されましたが、すでにこの脆弱性を突いた攻撃が行われていることも判明しています。
Googleのセキュリティチームは、北朝鮮のハッカーがこの脆弱性を悪用し、サイバー・セキュリティ・コミュニティに攻撃を仕掛けていたことがわかったと報告しています。
たとえば一部の攻撃においては、ブログにセキュリテイ研究者を誘導し、ブラウザにゼロデイ攻撃を仕掛け、研究者のシステムでマルウェアを実行する、といったことが行われた模様です。
9to5Macは今後さらに悪用される可能性があるため、Chromeブラウザを利用している場合はすぐにアップデートすべきだと記しています。自動アップデートに設定している場合は問題ありません。