パスワードを忘れた? アカウント作成
15171219 story
Chromium

Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 29

ストーリー by headless
影響 部門より
Googleは4日、エクスプロイトの存在が報告されているChromeの脆弱性(CVE-2021-21148)を修正するChrome 88.0.4324.150をリリースした(Chrome Releasesの記事The Registerの記事)。

この脆弱性はJavaScript/WebAssemblyエンジンV8に存在するヒープバッファーオーバーフローの脆弱性。詳細はまだ公表されていないが、Chromeに限らずChromium系ブラウザー全般に影響するようだ。脆弱性はV8のバージョン8.8.278.15で修正されたとみられ、最新版のBraveやMicrosoft Edge、VivaldiのV8はこのバージョンになっている。Operaはまだ更新されていなかった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年02月06日 14時55分 (#3973552)

    CVE-2021-21148はMicrosoft Edge Stable Channel (Version 88.0.705.63)で対応済み
    https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-se... [microsoft.com]

  • by Anonymous Coward on 2021年02月06日 15時31分 (#3973564)

    毎日PCもブラウザも再起動しているけど、Google Chrome の自動アップデートって、1週間ぐらい遅れるよね。

    この記事見て、88.0.4324.146 だったのを手動アップデートして 88.0.4324.150 になった
    chrome://settings/help [chrome] にアクセスして手動アップデート)

    Google Chrome の自動アップデートは遅れるので、スタートページを chrome://settings/help [chrome] にでもした方が良いかもしれない。

    • by Anonymous Coward

      毎日PCもブラウザも再起動しているけど、Google Chrome の自動アップデートって、1週間ぐらい遅れるよね。

      Debianなので気が付かなかった。もちろん、アップデートされていたけどね。Edgeの方も最新版だった。ただ、Dev版なので対応済みなのかどうか情報を探してみたけど、見つからなかった。

  • by Anonymous Coward on 2021年02月06日 16時12分 (#3973583)

    1つのブラウザエンジンに依存するとこーなるんだよ

    • by Anonymous Coward

      なるほど、1つのブラウザにツインエンジンを搭載すべきだと。
      # アンチウイルスソフトでたまにあるやつ

      • by Anonymous Coward

        Konquerorを見習うべきだな。

      • by Anonymous Coward

        両方で実行するとリスクは倍?

      • by Anonymous Coward

        トリプルエンジンのLunascapeが最強ってことですね

        • by Anonymous Coward

          V3には不調域があって爆発する恐れがあるのでV5を

      • by Anonymous Coward
        君頭悪すぎない?
    • by Anonymous Coward

      現代的なページが必要以上にJavaScriptを使うのも悪い

    • by Anonymous Coward

      やっぱり完全バランスエンジンのV12か直6にしておくべきだったのだ

  • by Anonymous Coward on 2021年02月06日 15時57分 (#3973578)

    影響あるんだろうな

    • by Anonymous Coward

      と思ってググってみたけどなんも見つけられなかった。

      • by Anonymous Coward

        そもそも他所から食わされたスクリプト実行する様な使い方は普通しないからなぁ……
        npm汚染する方がはるかにかんたんで高威力。

  • IE 11 を使ってれば安全と思いきや、新 Edge (Chromium エンジン) に強制リダイレクトできるので、Chromium の脆弱性も悪用できる。

    IEからEdgeへの強制転送設定を個人サイトに適応してもらった話
    https://b.0218.jp/202012162243.html [0218.jp]

    このリダイレクト機能は、少なくとも個人向けのWindows 10の最新バージョンではデフォルトで有効なので、ポリシー設定で無効化を推奨。
    https://docs.microsoft.com/ja-jp/deployedge/edge-learnmore-neededge [microsoft.com]

    IE11ユーザは意図してIE11と使っているのだから、勝手なChromium へのリダイレクトなど余計なお世話。

    枯れていて最新のWeb技術を搭載していない IE 11 こそ、今最も安全なブラウザだからね。
    ES6ですらまともに実装していないIEは最強。
    最近の脆弱性発見頻度を調べれば明らか。
    Chromium は、古い脆弱性をつぶして、新しい脆弱性を埋め込むアップデートが頻繁に繰り返されているブラウザなので枯れたブラウザより危険。

    • by Anonymous Coward

      > 枯れていて最新のWeb技術を搭載していない IE 11 こそ、今最も安全なブラウザだからね。

      本気で信じてしまう人が出ないよう補足すると、脆弱性の発見頻度はバグを探す目玉の数で大きく変わるので、安全性の指標としては使えません。
      ChromiumよりもIE11の方が安全であるとする定説は存在しないです。強制リダイレクトを無効化するのは賛成です。

      • by Anonymous Coward

        > バグを探す目玉の数
        安全神話ですね

  • by Anonymous Coward on 2021年02月06日 19時30分 (#3973672)

    相変わらずのダブスタだな〜

    • by Anonymous Coward

      まあ確かに通常とは違う対応だけど、Googleの管理下にないよそのブラウザの修正を待たないといけないので本来なら猶予期間で公表するタイミングじゃないから詳細は伏せて脆弱性が存在するという事実とその対応状況(よそのブラウザ含む)を公開するという形じゃないかな。
      そういうやり方が妥当かどうかはわからないけど、相応の理由があっての普段と違うやり方だと思う。

      • by Anonymous Coward

        よその 0-day は待たずに公開して、自分の 0-day は出揃うまで待つ
        当事者かどうかで対応を変えるいつもの Google

        • by Anonymous Coward

          「期限まで待った上で期限を過ぎたら0-dayとして公開」と
          「期限前だけど詳細は伏せて0-dayの存在と対応状況を公開」の区別がついてないんですね。

          • by Anonymous Coward

            かつて7日公開ルールを提唱したのもGoogleでしたっけ
            2021-01-24には報告されて攻撃が確認されていたそうですけど、いつまでが期限として妥当だと思います?

            • by Anonymous Coward on 2021年02月07日 19時02分 (#3973992)

              どれくらいが妥当かは判断しかねるし、その点では今回のGoogleの対応が正しいと主張するつもりもないから
              > そういうやり方が妥当かどうかはわからないけど
              と書いた。
              あくまで「期限を過ぎたから公開」と「期限前だけど暫定公開」を同一視してダブルスタンダード呼ばわりが我田引水だとコメントしただけ

              親コメント
              • by Anonymous Coward

                その程度の擁護なら口をつぐもうね
                Googleは自社について期限を明確にしたことがないんだよ
                自社の対応に期限を設けない姿勢がダブスタだって言ってんの

              • by Anonymous Coward

                擁護も何も、部外者が知ることができるのは期限を過ぎて公開された時点だから
                Googleが脆弱性を知ってからGooleがそれを修正するまでとれくらい時間がかかったか知ることはできない
                そんな自己申告の内部の人間にしか知ることも守られているか確かめることもできない期限なんて明示されても無意味
                Googleのやることを信用してるわけじゃないからこそ「自社の対応の期限」なんて明示しても価値のない情報にしか思えない

              • by Anonymous Coward

                なるほど、Googleが事実を隠しているだって!陰謀論か
                いつ外部から報告を受け取ったかは公表されていると言うのに
                相応の理由はどこいった

  • by Anonymous Coward on 2021年02月08日 12時02分 (#3974238)

    今公式サイトを見にいってチェックした最新バージョン

    Windows
    Version: 87.0.4450.0

    macOS
    Version: 84.0.4300.0

    Linux
    Version: 85.0.4350.0

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...