Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 29
ストーリー by headless
影響 部門より
影響 部門より
Googleは4日、エクスプロイトの存在が報告されているChromeの脆弱性(CVE-2021-21148)を修正するChrome 88.0.4324.150をリリースした(Chrome Releasesの記事、 The Registerの記事)。
この脆弱性はJavaScript/WebAssemblyエンジンV8に存在するヒープバッファーオーバーフローの脆弱性。詳細はまだ公表されていないが、Chromeに限らずChromium系ブラウザー全般に影響するようだ。脆弱性はV8のバージョン8.8.278.15で修正されたとみられ、最新版のBraveやMicrosoft Edge、VivaldiのV8はこのバージョンになっている。Operaはまだ更新されていなかった。
この脆弱性はJavaScript/WebAssemblyエンジンV8に存在するヒープバッファーオーバーフローの脆弱性。詳細はまだ公表されていないが、Chromeに限らずChromium系ブラウザー全般に影響するようだ。脆弱性はV8のバージョン8.8.278.15で修正されたとみられ、最新版のBraveやMicrosoft Edge、VivaldiのV8はこのバージョンになっている。Operaはまだ更新されていなかった。
Microsoft Edge (スコア:1)
CVE-2021-21148はMicrosoft Edge Stable Channel (Version 88.0.705.63)で対応済み
https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-se... [microsoft.com]
スラドの【速報】が珍しく役に立った (スコア:1)
毎日PCもブラウザも再起動しているけど、Google Chrome の自動アップデートって、1週間ぐらい遅れるよね。
この記事見て、88.0.4324.146 だったのを手動アップデートして 88.0.4324.150 になった
(chrome://settings/help [chrome] にアクセスして手動アップデート)
Google Chrome の自動アップデートは遅れるので、スタートページを chrome://settings/help [chrome] にでもした方が良いかもしれない。
Re: (スコア:0)
Debianなので気が付かなかった。もちろん、アップデートされていたけどね。Edgeの方も最新版だった。ただ、Dev版なので対応済みなのかどうか情報を探してみたけど、見つからなかった。
ほら見ろ (スコア:1)
1つのブラウザエンジンに依存するとこーなるんだよ
Re: (スコア:0)
なるほど、1つのブラウザにツインエンジンを搭載すべきだと。
# アンチウイルスソフトでたまにあるやつ
Re: (スコア:0)
Konquerorを見習うべきだな。
Re: (スコア:0)
両方で実行するとリスクは倍?
Re: (スコア:0)
トリプルエンジンのLunascapeが最強ってことですね
Re: (スコア:0)
V3には不調域があって爆発する恐れがあるのでV5を
Re: (スコア:0)
Re: (スコア:0)
現代的なページが必要以上にJavaScriptを使うのも悪い
Re: (スコア:0)
やっぱり完全バランスエンジンのV12か直6にしておくべきだったのだ
Re:ほら見ろ (スコア:1)
node.jsも (スコア:0)
影響あるんだろうな
Re: (スコア:0)
と思ってググってみたけどなんも見つけられなかった。
Re: (スコア:0)
そもそも他所から食わされたスクリプト実行する様な使い方は普通しないからなぁ……
npm汚染する方がはるかにかんたんで高威力。
IE 11 ユーザーはChromium へのリダイレクトを無効化しよう (スコア:0)
IE 11 を使ってれば安全と思いきや、新 Edge (Chromium エンジン) に強制リダイレクトできるので、Chromium の脆弱性も悪用できる。
IEからEdgeへの強制転送設定を個人サイトに適応してもらった話
https://b.0218.jp/202012162243.html [0218.jp]
このリダイレクト機能は、少なくとも個人向けのWindows 10の最新バージョンではデフォルトで有効なので、ポリシー設定で無効化を推奨。
https://docs.microsoft.com/ja-jp/deployedge/edge-learnmore-neededge [microsoft.com]
IE11ユーザは意図してIE11と使っているのだから、勝手なChromium へのリダイレクトなど余計なお世話。
枯れていて最新のWeb技術を搭載していない IE 11 こそ、今最も安全なブラウザだからね。
ES6ですらまともに実装していないIEは最強。
最近の脆弱性発見頻度を調べれば明らか。
Chromium は、古い脆弱性をつぶして、新しい脆弱性を埋め込むアップデートが頻繁に繰り返されているブラウザなので枯れたブラウザより危険。
Re: (スコア:0)
> 枯れていて最新のWeb技術を搭載していない IE 11 こそ、今最も安全なブラウザだからね。
本気で信じてしまう人が出ないよう補足すると、脆弱性の発見頻度はバグを探す目玉の数で大きく変わるので、安全性の指標としては使えません。
ChromiumよりもIE11の方が安全であるとする定説は存在しないです。強制リダイレクトを無効化するのは賛成です。
Re: (スコア:0)
> バグを探す目玉の数
安全神話ですね
詳細はまだ公表されていない (スコア:0)
相変わらずのダブスタだな〜
Re: (スコア:0)
まあ確かに通常とは違う対応だけど、Googleの管理下にないよそのブラウザの修正を待たないといけないので本来なら猶予期間で公表するタイミングじゃないから詳細は伏せて脆弱性が存在するという事実とその対応状況(よそのブラウザ含む)を公開するという形じゃないかな。
そういうやり方が妥当かどうかはわからないけど、相応の理由があっての普段と違うやり方だと思う。
Re: (スコア:0)
よその 0-day は待たずに公開して、自分の 0-day は出揃うまで待つ
当事者かどうかで対応を変えるいつもの Google
Re: (スコア:0)
「期限まで待った上で期限を過ぎたら0-dayとして公開」と
「期限前だけど詳細は伏せて0-dayの存在と対応状況を公開」の区別がついてないんですね。
Re: (スコア:0)
かつて7日公開ルールを提唱したのもGoogleでしたっけ
2021-01-24には報告されて攻撃が確認されていたそうですけど、いつまでが期限として妥当だと思います?
Re:詳細はまだ公表されていない (スコア:1)
どれくらいが妥当かは判断しかねるし、その点では今回のGoogleの対応が正しいと主張するつもりもないから
> そういうやり方が妥当かどうかはわからないけど
と書いた。
あくまで「期限を過ぎたから公開」と「期限前だけど暫定公開」を同一視してダブルスタンダード呼ばわりが我田引水だとコメントしただけ
Re: (スコア:0)
その程度の擁護なら口をつぐもうね
Googleは自社について期限を明確にしたことがないんだよ
自社の対応に期限を設けない姿勢がダブスタだって言ってんの
Re: (スコア:0)
擁護も何も、部外者が知ることができるのは期限を過ぎて公開された時点だから
Googleが脆弱性を知ってからGooleがそれを修正するまでとれくらい時間がかかったか知ることはできない
そんな自己申告の内部の人間にしか知ることも守られているか確かめることもできない期限なんて明示されても無意味
Googleのやることを信用してるわけじゃないからこそ「自社の対応の期限」なんて明示しても価値のない情報にしか思えない
Re: (スコア:0)
なるほど、Googleが事実を隠しているだって!陰謀論か
いつ外部から報告を受け取ったかは公表されていると言うのに
相応の理由はどこいった
SRWare Ironイツモドオリオワッテル (スコア:0)
今公式サイトを見にいってチェックした最新バージョン
Windows
Version: 87.0.4450.0
macOS
Version: 84.0.4300.0
Linux
Version: 85.0.4350.0