United States Computer Emergency Readiness Team (US-CERT)は7月14日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、Googleが同日にリリースしたGoogle Chrome 84.0.4147.89には複数の脆弱性に対する修正が含まれているため、アップデートの適用が推奨されるとアナウンスした。修正された脆弱性の中には、攻撃者が対象のシステムを制御できる危険性のあるものも含まれると伝えられている。
Google Chrome 84.0.4147.89は、7月14日にWindows版、Mac版、Linux版がそれぞれリリースされた。このリリースに関する詳細は次のページにまとめられている。
このリリースでは、機能強化のほかに、セキュリティに関する38件の修正が含まれているという。そのうち、CVEベースでは26件の脆弱性に対処しているとのこと。修正された脆弱性の重要度の内訳は次の通りとなっている。
- 緊急(Critical) - 1件
- 高(High) - 7件
- 中(Medium) - 8件
- 低(Low) - 10件
重要度が緊急の脆弱性は、バックグラウンドでデータをダウンロードまたはアップロードできるBackground Fetch機能においてヒープのファッファオーバーフローが発生する可能性があるというもの。重要度が高のものには、サイドチャネル攻撃による情報漏洩やPDFiumにおけるバッファオーバーフロー、CORS(Cross-Origin Resource Sharing) におけるポリシーバイパスといった脆弱性が含まれている。
最新バージョンへのアップデートは、数日から数週間をかけて順次展開されていくとのこと。