最初の週次 Chrome セキュリティアップデートパッチが高

Google は、最初の週次 Chrome セキュリティアップデートをリリースしました。これにより、「高重大度」と評価された 4 つを含む 5 つのメモリ安全性の脆弱性が修正されます。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

Eメール

Googleは今週、「重大度が高い」と評価された4つの問題を含む、外部の研究者によって報告された5つのメモリ安全性の脆弱性を修正するChrome 116セキュリティアップデートを発表した。

これらの欠陥に対して Google が支払ったバグ報奨金に基づくと、その中で最も深刻なものは CVE-2023-4430 です。これは、クロスプラットフォームの 3D グラフィックスのオープンスタンダードである Vulkan の use-after-free バグです。

この脆弱性は Cassidy Kim 氏によって報告され、同氏は発見に対して 10,000 ドルのバグ報奨金を受け取ったと Google はアドバイザリーで述べています。

次に、解放後の使用の問題があり、今回はローダーコンポーネントに問題があります。この欠陥は CVE-2023-4429 として追跡されており、匿名の研究者によって報告され、3,000 ドルの報奨金を受け取っています。

インターネット大手のこの企業は、CSS の境界外メモリアクセスに関する重大度の高い脆弱性に対しても 2,000 ドルの報奨金を配布したと述べています。

ただし、Google のポリシーにより、Google Project Zero 研究者によって報告された V8 JavaScript エンジンの同様の問題や、フォントにおける中程度の重大度の範囲外メモリアクセスの欠陥に対しては、バグ報奨金は支払われません。これはマイクロソフトのセキュリティ研究者によって報告されました。

最新の Chrome イテレーションは、Mac と Linux ではバージョン 116.0.5845.110 として、Windows ではバージョン 116.0.5845.110/.111 として展開されます。

Google は、これらの脆弱性が悪用された攻撃については一切言及していません。

このアップデートは、Chrome 116 が安定版チャネルでリリースされてから 1 週間後に配信されます。これは、新しい脆弱性に対するパッチを以前よりも早く配信するという Google の以前の計画に沿ったものです。

Chrome の主要なイテレーションは引き続き 4 週間ごとに提供されますが、安定したセキュリティアップデートは毎週リリースされ、n 日間のエクスプロイトの可能性を狭めます。 2020 年以来、インターネット巨人は 2 週間ごとに安定したアップデートを配信しています。

関連している：Chrome 116 が 26 の脆弱性をパッチ

関連している：Google、Chrome 115 アップデートでパッチされた V8 の脆弱性に対して 60,000 ドル以上の賞金を授与

関連している：Chrome 115、20の脆弱性をパッチ

Ionut Arghire は SecurityWeek の国際特派員です。

SecurityWeek 電子メールブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

セキュリティの専門家と一緒に、サイバーリスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。

ソフトウェアサプライチェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。

SEC のサイバーインシデント開示規則が施行されると、組織はセキュリティリーダーにテーブルの席を与えることを真剣に検討せざるを得なくなるでしょう。(Marc Solomon)

リモート勤務は定着しており、企業は引き続き基本的なコミュニケーション形式が適切に設定され、セキュリティが確保されていることを確認する必要があります。(Matt Honea)

分散クラウド環境の複雑さと課題により、多くの場合、複数のインフラストラクチャ、テクノロジー、セキュリティスタック、複数のポリシーエンジン、複数のコントロールセット、および複数の資産インベントリの管理が必要になります。(Joshua Goldfarb)

自動セキュリティ制御評価は、セキュリティ制御の存在を単に確認するのではなく、セキュリティ制御の適切で一貫した構成を検証することにより、セキュリティ体制を強化します。(Torsten George)

コンテキストは全体像を完成させるのに役立ち、セキュリティチームが情報に基づいた意思決定をより迅速に行うために使用できる実用的なインテリジェンスをもたらします。(Matt Wilson)