米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月1日(米国時間)、「Google Releases Security Updates for Chrome |CISA」において、GoogleがWebブラウザGoogle Chromeの最新版となる「Chrome 94.0.4606.71」をリリースしたことを伝えた。このアップデートには4件の脆弱性の修正が含まれている。それらのうち2件は攻撃への悪用が確認されているゼロデイ脆弱性にあたるという。
Chrome 94.0.4606.71のリリースに関する情報は、以下のリリースノートにまとめられている 。
このリリースで修正された4件の脆弱性のうち、リリースノートでは外部の研究者によって報告された以下の3件の情報が掲載されている。
- CVE-2021-37974: セーフブラウジング機能における解放後のメモリ使用(Use After Free)
- CVE-2021-37975: JavaScriptエンジンV8における解放後のメモリ使用
- CVE-2021-37976: コアにおける情報漏洩
脆弱性の深刻度は、CVE-2021-37974とCVE-2021-37975が「High(高)」、CVE-2021-37976が「Medium(中)」に分類されている。また、GoogleによればCVE-2021-37975とCVE-2021-37976の2件は、すでに攻撃への悪用が確認されているとのことで、早急に対処する必要がある。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のリリースノートを確認した上で必要なアップデートを適用することを推奨している。