グーグルはChromeとWindows7を共に蝕む2つの新たな脆弱性について警告を発しています。詳細はユーザー保護ため秘匿されたままです。
Chrome/ChromiumとWindowsにおけるこれら2つの深刻な脆弱性を利用して、攻撃者は外部システムを紛れ込ませ、高次の権限を獲得してデバイスの制御を奪います。Chromeでは既に、脆弱性に対するセキュリティアップデート「CVE-2019-5786」が自動的におこなわれました。一方マイクロソフトは未だ修正作業中です。
今すぐチェック: Chromeのセキュリティアップデート
3月1日におこなわれた自動アップデートのお陰で、多くのデバイスでは既にChromeを新バージョン(72.0.3626.101或いはそれ以上へと)アップデート済みです。是非あなたのブラウザの設定を確かめてください。アップデートは通常、ブラウザを閉じたり開き直したりした際にバックグラウンドで実行されます。もしアップデートが自動適用されていなかった場合は、ブラウザ右上の3点マークをクリックしてメニューからGoogle Chromeのアップデートを選択し、指示にしたがって再起動してください。アップデートの項目がなかった場合は、既にあなたのブラウザは最新バージョンです。LinuxユーザーがChromeをアップデートするにはPackage Manegerを利用してください。スマートフォンでは必要に応じてGoogle PlayもしくはApple Storeからアプリをアップデートしてください。Chromiumをベースとする全てのアプリで脆弱性が影響を及ぼす可能性があります。
グーグルは未だ深刻な脆弱性に関する詳細情報の公開を控えていますが、これはFile Reader APIのバグであり、攻撃者はメモリーエラーを誘発しデバイス上で自身のコードを実行できると見られています。
Windows: 脆弱性はなお顕在
グーグルのセキュリティブログによれば、今もなおWindows 7を利用しているユーザーは危険に晒されているとのこと。攻撃者はWindowsのカーネルドライバでNULLポインタを利用し、ユーザーとしての権限を拡張します。これがChromeの脆弱性と相乗することで、サンドボックスを突破し、システム全体の乗っ取りが可能になってしまいます。グーグルはこうした事態はWindows 7においてのみ起こり得ると深刻に懸念しており、ユーザーに可能な限りWindows 10へとアップデートするよう助言しています。
こうしたアップデートがインストールできるよう、ソフトウェアの自動アップデートを有効し、デバイスの定期的な再起動を行いましょう!
