積極的な攻撃下で Google が Chrome のゼロデイ脆弱性を修正した例の分析

Google は 25 日の Chrome アップデートで、活発に悪用されていたゼロデイ脆弱性を含む 3 つのセキュリティ脆弱性を修正しました。

これらの攻撃の詳細と、Chrome ユーザーに対して脆弱性がどのように悪用されたかは公開されていません。

この攻撃は、Google の脅威分析チームのメンバーである Clement Lecigne によって 2 月 18 日に発見されました。 Google の脅威分析グループは、悪意のあるアクティビティの調査と追跡を担当するチームです。

ゼロデイ脆弱性は Chrome バージョン 80.0.3987.122 で修正されました。 Windows、Mac、Linux ユーザーが利用できるアップデートはありますが、ChromeOS、iOS、Android ユーザーが利用できるパッチはありません。

ゼロデイ脆弱性番号は CVE-2020-6418 で、脆弱性の説明は「V8 での型の混乱」のみです。

V8 は、JavaScript コードを処理する Chrome のコンポーネントです。

型の混乱とは、アプリケーションが操作を実行するために特定の「型」の入力初期化データを使用しているにもかかわらず、入力が別の「型」として扱われるように騙された場合に発生するコーディングの脆弱性を指します。

「型の混乱」によるアプリケーション メモリ内の論理エラーにより、攻撃者がアプリケーション内で無制限に悪意のあるコードを実行できる可能性があります。

これは、過去 1 年間に積極的に悪用された Chrome のゼロデイ脆弱性の 3 つ目です。

Google は、昨年 3 月に最初の Chrome 0-day 脆弱性 (Chrome 72.0.3626.121 の CVE-2019-5786) を修正し、続いて 11 月に 2 番目の Chrome 0-day 脆弱性 (Chrome 72.0.3626.121) を CVE で修正しました。 78.0.3904.8 の -2019-13720）。

Chrome バージョン 80.0.3987.122 には 2 つの追加のセキュリティ アップデートが提供されていますが、これら 2 つの脆弱性はまだ悪用されていません。ユーザーはできるだけ早く Chrome を更新することをお勧めします。

以上が積極的な攻撃下で Google が Chrome のゼロデイ脆弱性を修正した例の分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。