Trusted Design

解説:

CVE-2021-4102について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2021-4102は、Google ChromeのV8 JavaScriptエンジンにおける解放後メモリ使用（Use-After-Free）の脆弱性です。このメモリ破損の欠陥により、リモートの攻撃者が細工されたHTMLページを介してヒープ破損を悪用する可能性があります。

• CWE識別子: CWE-416 (Use After Free)

1.1 影響

この脆弱性が悪用されると、攻撃者はChromeレンダラープロセスのサンドボックス内で任意のコードを実行する可能性があります。 具体的には、解放されたメモリにプログラムがアクセスすることでヒープが破損し、攻撃者が任意のコードを実行したり、ブラウザのセキュリティサンドボックスから脱出したりする可能性があります。

1.2 深刻度

• NVD評価: 高 (High severity)
• CVSSv3.1 Base Score: 8.8 (High)
  • CVSSv3.1 Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (NVDのCVSSv3.1のベクトルは、利用可能な情報からは直接確認できませんでした。ただし、NVDでは8.8の高 severityと評価されています。)
• 360CERTは、この脆弱性を「高危 (High risk)」と評価し、スコアを8.5としています。
• SUSEは「important severity」と評価し、CVSS v2のベクトルはAV:N/AC:M/Au:N/C:P/I:P/A:Pです。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、Google ChromeのV8エンジンに存在するため、主にChromiumベースのウェブブラウザが影響を受けます。

• Google Chrome: バージョン 96.0.4664.110 より前のバージョン
• Microsoft Edge (Chromiumベース): バージョン 96.0.1054.57 より前のバージョン
• Debian: chromium パッケージ（bullseye, bookworm, trixie, forky リリースで、修正バージョンに更新されていない場合）。stretch および buster はサポート終了（End-of-Life）のため、修正されていません。
• openSUSE Leap 15.4: chromium (バージョン 101.0.4951.64-bp154.1.2 未満)、libqt5-qtwebengine (バージョン 5.15.9-bp154.1.32 未満)

2.2 影響を受ける設定

特定のソフトウェア設定によって脆弱になるわけではありません。細工されたHTMLページを閲覧することで悪用される可能性があります。

3. 影響を受けた時の兆候

検索結果からは、この脆弱性が悪用された際の具体的なユーザー側からの兆候（例：エラーメッセージ、システム動作の異常など）に関する詳細な情報は見つかりませんでした。一般的に、このような種類の脆弱性は、ユーザーに気づかれずにバックグラウンドで悪用されることが多いため、直接的な兆候は現れにくい可能性があります。

4. 推奨対策

4.1 本対策

• Google Chrome: Google Chromeをバージョン 96.0.4664.110 以降に更新してください。
  • Chromeメニューから「ヘルプ」>「Google Chromeについて」を選択すると、バージョンが確認され、自動的に更新が実行されます。
• Microsoft Edge: Microsoft Edgeをバージョン 96.0.1054.57 以降に更新してください。
• 各ベンダーの指示に従う: 影響を受ける他のブラウザやオペレーティングシステムについても、各ベンダーが提供するセキュリティアドバイザリを参照し、速やかに修正プログラムを適用してください。

4.2 暫定回避策（緩和策）

この脆弱性に対する特定の暫定回避策は、検索結果からは明確には示されていません。このようなブラウザのゼロデイ脆弱性に対する最も効果的な対策は、ベンダーが提供するセキュリティアップデートを速やかに適用することです。信頼できないWebサイトへのアクセスを避けることは一般的なセキュリティ対策ですが、この脆弱性に対する直接的な緩和策としては不十分です。

その他解説すべき観点

• ゼロデイ脆弱性としての悪用: この脆弱性は、修正プログラムが公開される前からすでに悪用が確認されていたゼロデイ脆弱性でした。
• CISAの既知の悪用された脆弱性カタログ (KEV): CVE-2021-4102は、米国サイバーセキュリティ・社会基盤安全保障庁（CISA）の「既知の悪用された脆弱性カタログ」に登録されており、組織は速やかな対応が求められています。

参照したサイト

• SentinelOne - CVE-2021-4102: Google Chrome Use After Free Vulnerability
• NVD - CVE-2021-4102
• CVE Record - CVE-2021-4102
• Debian Security Bug Tracker - CVE-2021-4102
• GovCERT.HK - High Threat Security Alert (A21-12-09): Multiple Vulnerabilities in Microsoft Products (December 2021)
• Canadian Centre for Cyber Security - Google Chrome security advisory
• Alpine Security Tracker - CVE-2021-4102
• 窓の杜 - 「Microsoft Edge」も「V8」エンジンのゼロデイ脆弱性に対処 ～「Chrome」から1日遅れ
• 國立成功大學 計算機與網路中心 - 【資安漏洞預警】Google Chrome與Microsoft Edge瀏覽器存在多個高風險安全漏洞(CVE-2021-4098~4102)
• Microsoft Docs - Microsoft Edge セキュリティ更新プログラムのリリースノート
• SUSE - CVE-2021-4102 Common Vulnerabilities and Exposures
• 北京邮电大学网络与信息化中心 - 关于Google Chrome代码执行漏洞（CVE-2021-4102）的安全预警
• Tenable - Microsoft Edge (chromium) < 96.0.1054.57 の複数の脆弱性
• 360CERT - CVE-2021-4102：Google Chrome 代码执行漏洞
• 窓の杜 - 「Google Chrome」に深刻度「High」のゼロデイ脆弱性 ～すでに悪用の報告も