米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月14日、「Google Releases Security Updates for Chrome|CISA」において、GoogleがWebブラウザChromeの最新版となる「Chrome 96.0.4664.110」をWindows、MacおよびLinux向けにリリースしたと伝えた。

このリリースには攻撃への悪用が確認されている1件の脆弱性を含む全部で5件の脆弱性に対する修正が含まれており、できるだけ早くアップデートすることが推奨される。Chrome 96.0.4664.110のリリースに関する情報は次のページにまとめられている。

Chrome Releases: Stable Channel Update for Desktop

  • Google Chrome 96.0.4664.110  for macOS

    Google Chrome 96.0.4664.110 for macOS

Googleによると、このリリースには次に挙げる5件の脆弱性に対する修正が含まれているという。[]内は各脆弱性の影響度である。

・ [緊急] CVE-2021-4098: 言語間のバインディングライブラリMojoにおける不十分なデータ検証
・ [高] CVE-2021-4099: 3DレンダリングツールSwiftshaderにおける解放後のメモリ使用(Use After Free)
・ [高] CVE-2021-4100: グラフィックエンジンANGLEにおけるオブジェクトライフサイクルに関する問題
・ [高] CVE-2021-4101: Swiftshaderにおけるヒープバッファオーバーフロー
・ [高] CVE-2021-4102: JavaScriptエンジンV8における解放後のメモリ使用

Googleによれば、上記のうちCVE-2021-4102についてはすでに攻撃への悪用が確認されているという。この脆弱性を悪用されると、有効なデータの破損から任意のコードの実行に至るまでの深刻な結果をもたらす可能性があるとのこと。