今回は、Chrome のアップデートきていたので、それについて書きたいと思います。
今回はメジャーバージョンアップです。
Chrome をアップデートしよう(84.0.4147.89)
前回のままなら、83.0.4103.116 になってるはずです。
Chrome をアップデートする。
- 「はい」を選択します。
- 「はい」を選択します。最近2回でるんですよね。
- バージョンアップがエラーになってしまいました。
- 仕方ないので、chromeのサイトからダウンロードしてインストールしてみます。
- インストール処理が動いて終了しました。バージョン画面を開いてみます。すると、エラー表示ではなく、更新されたので、再起動してくださいと表示されています。
[ 再起動 ] を選択します。 - [ はい ] を選択します。
- [ はい ] を選択します。
- 再起動され、バージョン画面で、
84.0.4147.89 になりました。
メジャーバージョンアップだからでしょうか。そうやすやすとはアップデートできません。
ChromeSetup.exe がダウンロードされます。日付だけ見ると、デジタル署名は、2020/03/03 になっています。とはいえ、ネットワークダウンロードになるかもしれないので、このままこのファイルを開いて、続けていきます。
これでアップデート完了です。
アップデートの内容を確認します
Chrome Releases: Stable Channel Update for Desktop
2020/07/14 リリースされた内容が記載されています。
これによると、Windows/Mac/Linux を対象に提供されているデスクトップ版 Chrome のアップデートで、38個のセキュリティ修正が含まれています。
CVEベースで見ると、以下の26個の修正が入っています。
括弧内は、Chromeが出している重要度です。内訳は、Critical 1件、High 7件、Medium 7件、Low 11件です。
- CVE-2020-6510(Critical)
- CVE-2020-6511(High)
- CVE-2020-6512(High)
- CVE-2020-6513(High)
- CVE-2020-6514(High)
- CVE-2020-6515(High)
- CVE-2020-6516(High)
- CVE-2020-6517(High)
- CVE-2020-6518(Medium)
- CVE-2020-6519(Medium)
- CVE-2020-6520(Medium)
- CVE-2020-6521(Medium)
- CVE-2020-6522(Medium)
- CVE-2020-6523(Medium)
- CVE-2020-6524(Medium)
- CVE-2020-6525(Low)
- CVE-2020-6526(Low)
- CVE-2020-6527(Low)
- CVE-2020-6528(Low)
- CVE-2020-6529(Low)
- CVE-2020-6530(Low)
- CVE-2020-6531(Low)
- CVE-2020-6533(Low)
- CVE-2020-6534(Low)
- CVE-2020-6535(Low)
- CVE-2020-6536(Low)
CVEの詳細を見ていきます。
CVEの後ろの括弧内はchromium Tracking番号です
重要度は、後ろの括弧内のCVSS と スコアからIPAで規定されている重要度で記載しています。
CVE-2020-6510(1103195)
重要度:重要 ( CVSS 3.0: 7.7 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、バックグラウンドフェッチで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6511(1074317)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:暗号の問題の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、コンテンツセキュリティポリシーのサイドチャネル情報リークが原因で発生します。Chrome High。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、機密情報にアクセスさせることができます。
CVE-2020-6512(1084820)
重要度:重要 ( CVSS 3.0: 7.7 )
内容:タイプの混乱の脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、Google ChromeのV8コンポーネント内のタイプの混同エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、型の混同エラーをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
CVE-2020-6513(1091404)
重要度:重要 ( CVSS 3.0: 7.7 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、PDFiumで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6514(1076703)
重要度:警告 ( CVSS 3.0: 6.5 )
内容:標準セキュリティチェックが不適切な脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、バックグラウンドフェッチで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6515(1082755)
重要度:重要 ( CVSS 3.0: 7.1 )
内容:解放後使用の脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Google Chromeのタブストリップコンポーネント内の解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、解放後使用エラーをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-6516(113195)
重要度:重要 ( CVSS 3.0: 7.1 )
内容:不適切なアクセス制御の脆弱性
危険性:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。CORSの不適切なアクセス制限が原因で、この脆弱性が存在します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして訪問させ、実装されているセキュリティ制限を回避し、機密情報への不正アクセスやデータの操作を行うことができます。
CVE-2020-6517(1095560)
重要度:重要 ( CVSS 3.0: 7.7 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、信頼されていないHTMLコンテンツを履歴で処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6518(113195)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:解放後使用の脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Google Chromeの開発者ツール内の解放後使用エラーが原因で発生します。リモートの攻撃者は、被害者をだまして特別に細工したWebページにアクセスさせ、解放後使用エラーをトリガーし、機密情報にアクセスできます。
CVE-2020-6519(1064676)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:不適切なアクセス制御の脆弱性
危険性:ここの脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、CSPの不適切なアクセス制限が原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、実装されているセキュリティ制限を回避し、機密情報に不正アクセスすることができます。
CVE-2020-6520(1092274)
重要度:警告 ( CVSS 3.0: 6.5 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Skiaで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6521(1075734)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:暗号の問題の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、自動入力のサイドチャネル情報リークが原因で発生します。Chrome Medium。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、機密情報にアクセスさせることができます。
CVE-2020-6522(1052093)
重要度:重要 ( CVSS 3.0: 7.1 )
内容:標準のセキュリティチェックが不適切な脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Google Chromeの外部プロトコルハンドラーの不適切な実装が原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、機密情報にアクセスさせることができます。
CVE-2020-6523(1080481)
重要度:警告 ( CVSS 3.0: 6.5 )
内容:範囲外の書き込みの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Skiaで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Skiaで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、範囲外の書き込みをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6524(1081722)
重要度:警告 ( CVSS 3.0: 6.5 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、WebAudioで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6525(1091670)
重要度:警告 ( CVSS 3.0: 6.5 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Skiaで信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE-2020-6526(1074340)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:標準のセキュリティチェックが不適切な脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Google Chromeのiframeサンドボックスに正しく実装されていないために発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、機密情報にアクセスさせることができます。
CVE-2020-6527(992698)
重要度:注意 ( CVSS 3.0: 3.8 )
内容:権限、特権、およびアクセス制御の脆弱性
危険性:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、Google ChromeのCSPでのポリシー施行が不十分なために発生します。リモートの攻撃者は、被害者をだまして特別に細工したWebサイトにアクセスさせ、実装されたセキュリティ対策を回避し、機密情報にアクセスできます。
CVE-2020-6528(1063690)
重要度:注意 ( CVSS 3.0: 4.7 )
内容:なりすまし攻撃の脆弱性
危険性:この脆弱性により、リモートの攻撃者がスプーフィング攻撃を実行できるようになります。この脆弱性は、Google Chromeの基本認証でユーザーが入力した入力の検証が不十分なために発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてアクセスさせ、Webページのコンテンツを偽装することができます。
CVE-2020-6529(978779)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:標準のセキュリティチェックが不適切な脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Google Chrome の WebRTC の不適切な実装が原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、機密情報にアクセスさせることができます。
CVE-2020-6530(1016278)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:範囲外の読み取りの脆弱性
危険性:この脆弱性により、リモートの攻撃者がアクセスしてブラウザをクラッシュさせる可能性があります。この脆弱性は、Google Chrome の Developer Tool コンポーネント内の境界条件が原因で発生します。リモートの攻撃者は、被害者をだまして特別に細工したWebページにアクセスさせ、範囲外の読み取りエラーをトリガーし、ブラウザをクラッシュさせることができます。
CVE-2020-6531(1042986)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:暗号の問題の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、テキストへのスクロールにおけるサイドチャネル情報のリークが原因で発生します。リモートの攻撃者は、特別に細工した Web ページを作成し、被害者をだまして開かせ、機密情報にアクセスさせることができます。
CVE-2020-6533(1069964)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:タイプの混乱の脆弱性
危険性:この脆弱性により、リモートの攻撃者がサービス拒否(DoS)攻撃を実行する可能性があります。この脆弱性は、Google Chrome の V8 コンポーネント内のタイプの混同エラーが原因で発生します。リモートの攻撃者は、被害者をだまして特別な細工がされたWebページにアクセスさせ、型の混同エラーを引き起こし、ブラウザをクラッシュさせることができます。
CVE-2020-6534(1072412)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:ヒープベースのバッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者がサービス拒否(DoS)攻撃を実行する可能性があります。この脆弱性は、WebRTC で信頼できない HTML コンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、ヒープベースのバッファオーバーフローをトリガーし、ブラウザをクラッシュさせることができます。
CVE-2020-6535(1073409)
重要度:注意 ( CVSS 3.0: 2.7 )
内容:入力検証エラーの脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Google Chrome の WebUI でユーザーが入力した入力の検証が不十分なために発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、機密情報にアクセスさせることができます。
CVE-2020-6536(1080934)
重要度:警告 ( CVSS 3.0: 4.7 )
内容:なりすまし攻撃の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、Google Chrome の WebUI でユーザーが入力した入力の検証が不十分なために発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、機密情報にアクセスさせることができます。
CVE採番のないCWEベースで見ると、以下の3種類の修正が入っています。内容やスコアが重複しているものはマージしてます。件数でいうと、10件。重要 3件、警告 6件、注意 1件です。
CWE-119
重要度:重要 ( CVSS 3.0: 7.7 )
内容:メモリ破損の脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、HTML コンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工した Web ページを作成し、被害者をだまして開かせ、メモリ破損を引き起こし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
CWE-264(1)
重要度:注意 ( CVSS 3.0: 3.8 )
内容:セキュリティ制限のバイパスの脆弱性
危険性:この脆弱性により、リモートの攻撃者がセキュリティ制限を回避することができます。不特定のエラーが原因で脆弱性が存在します。リモートの攻撃者が機密情報にアクセスする可能性があります。
CWE-264(2)
重要度:警告 ( CVSS 3.0: 4.7 )
内容:セキュリティ制限のバイパスの脆弱性
危険性:の脆弱性により、リモートの攻撃者がセキュリティ制限を回避することができます。不特定のエラーが原因で脆弱性が存在します。リモートの攻撃者は、課されたセキュリティ制限を回避したり、機密情報にアクセスしたりできます。
まとめ
今回は重要度:緊急も含まれ、重要の件数も多い修正版です。バージョン確認画面でアップデートもできるようになるとは思いますが、即時に対応したい方は、本記事でも行った、公式サイトからインストールする手順も試してみるといいかもしれません。
関連情報
Chrome Releases: Stable Channel Update for Desktop
0 件のコメント:
コメントを投稿