米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月16日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、GoogleがWebブラウザ「Chrome」の最新版となる「Chrome 96.0.4664.45」をWindows、MacおよびLinux向けにリリースしたと伝えた。

このリリースには25件の脆弱性に対する修正が含まれており、できるだけ早くアップデートすることが推奨される。Chrome 96.0.4664.45のリリースに関する情報は次のページにまとめられている。

  • Google Chrome 96.0.4664.45 for macOS

    Google Chrome 96.0.4664.45 for macOS

修正された25件の脆弱性のうち、情報が公開されているものは次のとおり。

  • [高] CVE-2021-38008: メディアにおける解放後のメモリ使用(Use After Free)
  • [高] CVE-2021-38009: キャッシュにおける不適切な実装
  • [高] CVE-2021-38006: ストレージファンデーションにおける解放後のメモリ使用
  • [高] CVE-2021-38007: JavaScriptエンジンV8におけ型の取り違え(Type Confusion )
  • [高] CVE-2021-38005: ローダーにおける解放後のメモリ使用
  • [高] CVE-2021-38010: Service Workerにおける不適切な実装
  • [高] CVE-2021-38011: ストレージファンデーションにおける解放後のメモリ使用
  • [中] CVE-2021-38012: V8におけ型の取り違え
  • [中] CVE-2021-38013: 指紋認識におけるヒープバッファオーバーフロー
  • [中] CVE-2021-38014: 3DレンダリングツールSwiftShaderにおける範囲外のメモリ書き込み
  • [中] CVE-2021-38015: Inputにおける不適切な実装
  • [中] CVE-2021-38016: バックグラウンドフェッチにおける不十分なポリシーの適用
  • [中] CVE-2021-38017: iframeサンドボックスにおける不十分なポリシーの適用
  • [中] CVE-2021-38018: ナビゲーションにおける不適切な実装
  • [中] CVE-2021-38019: CORS(Cross-Origin Resource Sharing)における不十分なポリシーの適用
  • [中] CVE-2021-38020: Contact Pickerにおける不十分なポリシーの適用
  • [中] CVE-2021-38021: リファラーにおける不適切な実装
  • [低] CVE-2021-38022: WebAuthenticationにおける不適切な実装

それぞれの脆弱性の影響度は[]内に記した通りとなっている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のリリース情報を確認した上で必要なアップデートを適用することを推奨している。