米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月24日(現地時間)、「Google Releases Security Updates for Chrome|CISA」において、GoogleがWebブラウザ「Chrome」に対してセキュリティアップデート「Chrome 94.0.4606.61」をリリースしたと伝えた。このアップデートでは、攻撃に悪用するためのコードが確認されている1件の脆弱性に対する修正が含まれている。
Chrome 94.0.4606.61のリリースに関する情報は次のリリースノートにまとめられている。
「CVE-2021-37973」として追跡されているこの脆弱性は「Use After Free(解放後のメモリ使用)」に分類されるもので、Webページへの外部コンテンツの読み込みを実現する「Portals」と呼ばれる機能に発見されたという。Portalsは2019年に登場した比較的新しい機能で、自身のWebページ内にportalsタグを用いてリモートコンテンツを埋め込むことができるもの。以前からあるiframeタグに似ているが、埋め込んだコンテンツへのナビゲーションが可能になるなど、iframeよりも自由度が高く設計されている。
CVE-2021-37973に関する詳細は明らかにされていないが、Googleによれば攻撃に悪用可能なコードが公開されていることを確認しているそうで注意が必要。オープンソース版の「Chronium」でもCVE-2021-37973の修正版がリリースされている。ChroniumをベースとしたMicrosoft Edgeにおいても、「Microsoft Edge 94.0.992.31」においてこの問題が修正された。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のリリースノートを確認した上で必要なアップデートを適用することを推奨している。