プラットフォーム
chrome
コンポーネント
angle
修正版
97.0.4692.71
CVE-2022-0104 は、Google Chrome の ANGLE コンポーネントにおけるバッファオーバーフローの脆弱性です。この脆弱性は、悪意のある HTML ページを閲覧することで、ヒープの破損を引き起こし、潜在的にリモート攻撃者がシステムを制御する可能性があります。影響を受けるバージョンは Chrome 97.0.4692.71 以前です。Chrome を 97.0.4692.71 以降にアップデートすることで修正されます。
この脆弱性は、攻撃者が特別に細工された HTML ページを表示させることで、Chrome のメモリ領域を上書きし、任意のコードを実行する可能性があります。攻撃者は、この脆弱性を悪用して、システム上で任意のコードを実行し、機密情報を盗み出し、システムを完全に制御する可能性があります。この脆弱性は、特に Web サイトを閲覧するユーザーにとってリスクが高く、攻撃者は、悪意のある広告や、信頼できる Web サイトに埋め込まれたスクリプトを通じて脆弱性を悪用する可能性があります。ヒープの破損は、プログラムのクラッシュや、より深刻なセキュリティ侵害につながる可能性があります。
CVE-2022-0104 は、2022年2月11日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、バッファオーバーフローの脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEV カタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.56% (68% パーセンタイル)
この脆弱性への最も効果的な対策は、Google Chrome を最新バージョン (97.0.4692.71 以降) にアップデートすることです。アップデートがすぐに利用できない場合は、一時的な緩和策として、信頼できないソースからの HTML コンテンツの表示を制限し、ブラウザのセキュリティ設定を強化することを検討してください。また、Web 開発者は、ANGLE コンポーネントを使用する際に、入力データの検証を徹底し、バッファオーバーフローが発生しないように注意する必要があります。
Google Chromeを97.0.4692.71以降のバージョンにアップデートしてください。このアップデートは、ANGLEにおけるバッファオーバーフローの脆弱性を修正し、操作されたHTMLページを通じてリモートの攻撃者が任意のコードを実行することを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2022-0104 は、Google Chrome の ANGLE コンポーネントにおけるバッファオーバーフローの脆弱性で、悪意のある HTML ページを介してヒープ破損を引き起こす可能性があります。
Chrome 97.0.4692.71 以前のバージョンを使用している場合、この脆弱性の影響を受けます。
Google Chrome を 97.0.4692.71 以降の最新バージョンにアップデートすることで修正されます。
現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、注意が必要です。
Google のセキュリティアドバイザリページで確認できます: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop.html