米Googleは13日(現地時間)、WebブラウザGoogle Chromeの安定版「89.0.4389.128」を公開した。Windows/macOS/Linux向けに今後数日から数週間かけて順次提供する。

 今回のアップデートでは、Blinkにおける解放後メモリ使用の問題(CVE-2021-21206)、およびx86_64のV8で信頼できない入力に対する検証が不十分だった問題(CVE-2021-21220)の2件の脆弱性を修正した。深刻度はともにHighと評価している。

 Googleでは、どちらの脆弱性もすでに悪用の報告を受けているとしており、早めのアップデートを推奨したい。

Impress Watch 4/14(水) 13:39配信
https://headlines.yahoo.co.jp/hl?a=20210414-00000114-impress-sci

 米Googleは4月13日(現地時間)、デスクトップ向け「Google Chrome」の最新安定版v89.0.4389.128を公開した。2件の脆弱性を修正したセキュリティアップデートとなっており、できるだけ早いアップデートが必要だ。

 1つ目は、匿名の研究者によって報告されたレンダリングエンジン「Blink」における解放後メモリ利用(Use-after-free)の欠陥(CVE-2021-21206)。これを悪用した攻撃も報告されているとのことで警戒が必要だ。

 2つ目は、スクリプトエンジン「V8」(x86_64)で信頼できない入力の検証が不十分であった問題(CVE-2021-21220)。4月上旬にトレンドマイクロのZero Day Initiative(ZDI)が開催したハッキング大会“Pwn2Own 2021”で、セキュリティベンダーDataflow Securityのチームが「Chrome」のレンダラーと「Microsoft Edge」を攻略するために用いられた。同チームはこの攻撃の実演に成功したことで、総額10万ドルを獲得している。

 デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、64bit版を含むWindows 7/8/8.1/10に対応する。すでにインストールされている場合は自動で更新されるが、設定画面(chrome://settings/help)から手動でアップデートすることもできる。

Impress Watch 4/14(水) 8:00配信
https://headlines.yahoo.co.jp/hl?a=20210414-00000026-impress-sci
https://amd-pctr.c.yimg.jp/r/iwiz-amd/20210414-00000026-impress-000-1-view.jpg