報告された攻撃に関する詳細は、セキュリティ上の欠陥”CVE-2019-5786″を利用することです。この問題は Chrome 72.0.3626.12 に含まれているパッチによってのみ対処できます。この最新バージョンは先週の金曜日に展開されたばかりです。
攻撃の重大度は、Chromeのセキュリティリードでさえ、進行中の攻撃について認めているという事実から推定することができます。
によると、この問題は基本的にChromeのFileReader(ウェブアプリケーションが保存されたファイルのコンテンツを読み取ることができるウェブAPI)の一部であるメモリ管理エラーです。
単純な言語では、Chromeの割り当てられたメモリ空間から削除(または手放す)メモリにアクセスしようとしているアプリが原因で発生するメモリエラーの種類がバグです。 このような操作が裏目に出ると、悪意のあるコードが実行を開始することはほぼ確実です。
ZerodiumのCEOは、CVE-2019-5786は、コードが基になるOS上でコマンドを実行することが容易であるChromeのセキュリティサンドボックスから解放される悪意のあるコードの責任があると言います。
マイクロソフト セキュリティ エンジニアの Matt Miller は先月、マイクロソフトが毎年修正したアカウントのセキュリティ上の欠陥のほとんどが、(上記のように) メモリの安全性に関連していることを明らかにしました。
関連:
さらに興味深いのは、これらのエラーのほとんどは、C++ と C プログラミング言語を使用して発生することです。これらの言語は、クロムソースコード(Chromeの基礎となる)を書き込む際にも使用されます。
これらの議論の中で、Googleの脅威分析グループ自身のクレメント・レシグネが上記のバグを発見したことも持ち出されるべきです。
ChromeのセキュリティリーダーであるChromeは、内蔵のアップデートツールを使用して、利用可能な最新バージョンである72.0.3626.121にChromeを迅速にアップデートするようすべてのユーザーに要求しました。だから、これを読んでいる場合は、今すぐChromeのアップデートをトリガーし、このセキュリティ上の欠陥から安全に過ごしてください。
写真: ゲッティイメージズ経由のSOPA画像
次を読む: