出版
攻撃者が悪意のあるコードを実行できる可能性のある Chrome の脆弱性を修正するアップデートが利用可能になりました。
Google Chrome、Mozilla の Firefox または Thunderbird、Microsoft Edge、Brave ブラウザ、Tor ブラウザを更新する時期が来ました。Web 開発ニュース サイト StackDiary は、6 つのブラウザすべてに、脅威の攻撃者が悪意のあるコードを実行できる可能性があるゼロデイ脆弱性があることを報告しました。
ジャンプ先:
- WebPリーダーに脆弱性発生
- ユーザーはどのような手順を踏む必要がありますか?
WebPリーダーに脆弱性発生
影響を受けるブラウザのユーザーは、ゼロデイ脆弱性がマシンに確実にパッチが適用されるよう、最新バージョンにアップデートする必要があります。問題はブラウザではなく、この脆弱性はWebPコーデックに起因することがStackDiaryによって判明しました。
影響を受けるその他のアプリケーションは次のとおりです。
- 親和性。
- ギンプ。
- インクスケープ。
- LibreOffice。
- 電報。
- 多数の Android アプリケーション。
- Flutter で構築されたクロスプラットフォーム アプリ。
Electron 上に構築されたアプリも影響を受ける可能性があります。Electron はパッチをリリースしました。
StackDiary によると、多くのアプリケーションは WebP 画像をレンダリングするために WebP コーデックと libwebp ライブラリを使用しています。
参照:チェック・ポイント・ソフトウェアは、サイバーセキュリティ攻撃が新しい手法(AI)と古い手法(謎のUSBメモリの落下)の両方から発生していることを発見しました。(TechRepublic)
NISTによると、WebPのヒープバッファオーバーフローにより、攻撃者は境界外メモリ書き込みを実行できる可能性があるという。StackDiaryによると、ヒープバッファオーバーフローは、プログラム内のデータ量を「オーバーフロー」させることで、攻撃者が悪意のあるコードを挿入することを可能にする。この特定のヒープバッファオーバーフローはコーデック(基本的にはコンピュータがWebP画像をレンダリングできるようにするトランスレータ)を標的としているため、攻撃者は悪意のあるコードが埋め込まれた画像を作成する可能性がある。そこから、データを窃取したり、コンピュータにマルウェアを感染させたりすることが可能になる。
StackDiaryによると、この脆弱性は9月6日にAppleのセキュリティエンジニアリングおよびアーキテクチャチームとトロント大学のCitizen Labによって初めて検出されたという。
ユーザーはどのような手順を踏む必要がありますか?
Google、Mozilla、Brave、Microsoft、Torは、この脆弱性に対するセキュリティパッチをリリースしました。これらのアプリをご利用の方は、最新バージョンにアップデートしてください。他のアプリケーションの場合、この脆弱性は現在も存在しており、パッチが存在しない可能性があります。NISTは、この脆弱性はまだ完全な分析が行われていないと指摘しています。
NISTはこの脆弱性を深刻と分類し、パッチがまだ提供されていないアプリケーションの使用を中止するようユーザーに推奨しています。必要に応じて、アプリケーションを個別にご確認ください。
こちらもご覧ください
- 2023年のマルチクラウド セキュリティ ソリューション プロバイダー トップ 7
- 2023年版 侵入テストツールとソフトウェアのおすすめ8選
- ジェネレーティブAIがクラウドセキュリティにもたらすゲームチェンジャー
- チェックリスト: ネットワークとシステムのセキュリティ
- サイバーセキュリティ:さらに必読の記事
ミーガン・クラウス
メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。
