6月2日、Forbesが報じたところによると、Google Chromeとその20億を超えるデスクトップユーザーにとって、5月は忘れがたい月となった。

10日間で4つのゼロデイ脆弱性と緊急アップデートの警告が発表され、広範な報道を引き起こしたのである。米国政府は連邦職員に対し、 5月の緊急アップデートをインストールするか、Chromeの使用を停止するよう警告 しており、これらのアップデートを適用する期限を6月3日としている。

米国政府の警告は、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）から発信されており、5月のChromeの警告を「既知の悪用された脆弱性」（KEV）カタログに追加した。KEVカタログは「現実に悪用された脆弱性」を詳細に記述している。

主なポイント

1. ゼロデイ攻撃と緊急アップデート
   米国政府のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、Chromeの緊急アップデートを「既知の悪用された脆弱性」カタログに追加した。特に、「Use after free in Visuals」という脆弱性が注目されている。

2. 「Use after free」脆弱性の詳細
   「Use after free」脆弱性は、メモリポインタの解放後に再利用されることで、悪意のあるコードの実行やプラットフォームの不安定化を引き起こす可能性がある。この脆弱性は、Google Chromeだけでなく、Microsoft EdgeやOperaなど、Chromiumを利用する複数のウェブブラウザに影響を与える。

3. アップデートの重要性
   緊急アップデートは自動的に行われるが、ユーザーはブラウザを閉じて再起動する必要がある。CISAは、連邦政府の職員に対し、ベンダーの指示に従って対策を講じるか、対策が不可能な場合は製品の使用を中止するよう指示している。

4. その他のゼロデイ脆弱性
   5月には他にもCVE-2024-4761、CVE-2024-4947、CVE-2024-5274の脆弱性が確認されており、6月6日、10日、16日までにアップデートを適用する必要がある。

5. 企業への影響
   企業は、従業員全員がアップデートを確実に行うよう義務付けるべきである。特に、公共および民間部門の組織は、CISAの指示に従い、同じタイムラインで対策を講じるべきだ。

「Use After Free」脆弱性は、悪意のあるコードを実行したり、プラットフォームやオペレーティングシステムを不安定化させたりするために利用される可能性がある潜在的なメモリポインタである。直接的またはチェーン攻撃の一部として、リスクは高い。

CISAは連邦政府職員に「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止する」よう指示している。これは、Chromeのアップデートが適用され、インストールされていることを確認することを意味する。CISAの6月3日の期限は米国連邦機関に特に適用されるが、他の公共および民間セクターの組織も同様のタイムラインを適用する必要がある。

詳細はGoogle Chrome Government Deadlineを参照していただきたい。