CVE詳細 - CVE-2022-2294-

CVE-2022-2294 の詳細

CVEの情報

説明:
Heap buffer overflow in WebRTC in Google Chrome prior to 103.0.5060.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

CVE更新日: 2022-07-28 02:15:07.797000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2022-08-25

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.010780000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2022-2294: WebRTCにおけるヒープバッファーオーバーフローの脆弱性

1. 脆弱性の概要

CVE-2022-2294は、WebRTC (Web Real-Time Communications) コンポーネントに存在するヒープバッファーオーバーフローの脆弱性です。攻撃者は細工されたHTMLページを介してヒープ破損を悪用する可能性があります。この脆弱性は、Google Chromeにおいて103.0.5060.114より前のバージョンで確認されています。

1.1 影響

この脆弱性が悪用されると、リモートの攻撃者によってプログラムのクラッシュ、または任意のコード実行を引き起こされる可能性があります。

1.2 深刻度

CVSSv3.1の基本値は8.8であり、「高」または「重要」と評価されています。複数のセキュリティ機関がこの脆弱性の深刻度を「High」と評価しており、Googleも攻撃が「野放しで存在すること（in-the-wild）」を認識していると発表しました。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンに限定されるものではなく、影響を受けるのは主にGoogle ChromeおよびChromiumベースのブラウザとそのコンポーネントです。具体的には以下のバージョンが影響を受けます。

Google Chrome Desktop: 103.0.5060.114 未満
Google Chrome Extended: 102.0.5005.148 未満
Google Chrome Android: 103.0.5060.71 未満
Microsoft Edge: v103.0.1264.49 未満 (Chromiumの問題に起因)
Fedora Project: Extra Packages For Enterprise Linux, Fedora
WebKitGTK、WPE WebKit
openSUSE Leap 15.4: chromedriver < 103.0.5060.114-bp154.2.14.1, chromium < 103.0.5060.114-bp154.2.14.1

モバイルアプリケーションで利用されているWebRTCライブラリも脆弱性を持つ可能性がありますが、悪用可能であるかは不明です。

2.2 影響を受ける設定

WebRTCを使用し、SDP munging（SDPの改変）を許可する、またはユーザーがSDP APIを操作できるアプリケーションでこの脆弱性は悪用可能となります。

3. 影響を受けた時の兆候

この脆弱性は攻撃者が細工されたHTMLページを介してヒープ破損を悪用し、プログラムのクラッシュや任意のコード実行を引き起こす可能性があるため、以下のような兆候が考えられます。

Google ChromeまたはChromiumベースのブラウザが予期せずクラッシュする。
システムパフォーマンスの著しい低下。
不審なプロセスやネットワーク通信が観測される。
身に覚えのないファイルが作成されたり、設定が変更されたりする。

ただし、これらの兆候は他の問題によっても発生しうるため、脆弱性が悪用されたことを直接示すものではありません。攻撃の詳細は明らかにされていませんが、ゼロデイ攻撃として悪用が確認されています。

4. 推奨対策

4.1 本対策

影響を受ける各ベンダーから提供されているセキュリティアップデートを適用することが最も推奨される対策です。

Google Chrome:
- Google Chrome Desktop: 103.0.5060.114 以降にアップデートする。
- Google Chrome Extended: 102.0.5005.148 以降にアップデートする。
- Google Chrome Android: 103.0.5060.71 以降にアップデートする。 Google Chromeは通常、自動でアップデートされますが、手動での確認と適用も推奨されます。
Microsoft Edge:
- デスクトップ版「Microsoft Edge」をv103.0.1264.49以降にアップデートする。 Edgeも自動更新されるため、バージョンがv103.0.1264.49になっているか確認することが推奨されます。
その他のChromiumベースのブラウザやWebRTCを使用するアプリケーション:
- 各ベンダーから提供される最新のセキュリティパッチを適用してください。
OS:
- Fedora Project: Fedora Update Notification (FEDORA-2022-0102ccc2a2, FEDORA-2022-1d3d5a0341) を適用する。
- openSUSE Leap 15.4: chromedriver >= 103.0.5060.114-bp154.2.14.1, chromium >= 103.0.5060.114-bp154.2.14.1 にアップデートする。

4.2 暫定回避策（緩和策）

この脆弱性に対しては、本対策であるソフトウェアのアップデートが最も効果的で推奨されています。現時点では、特定の暫定回避策や緩和策に関する具体的な情報は見つかりませんでした。一般的に、Webブラウザの脆弱性に対する暫定的な対策としては、不審なWebサイトへのアクセスを避ける、JavaScriptの実行を制限するなどの方法が考えられますが、CVE-2022-2294に特化した緩和策は公開されていません。

参照したサイト

その他解説すべき観点

現時点では、CVE-2022-2294に関する追加で特筆すべき観点（例：特定の攻撃グループによる悪用、長期的な影響など）は、上記の検索結果からは明確には得られませんでした。しかし、ゼロデイ攻撃として実際に悪用が確認されている脆弱性であるため、迅速な対応が不可欠です。

NVDサイト

NVDでCVEの詳細を見る

戻る