海外メディアの報道によると、Googleは27日、Chromeに深刻なDay 0脆弱性が存在し、同脆弱性がハッカーによって広範囲にわたり悪用されていると発表しました。CVE ID(CVE識別番号)はCVE-2023-5217で、深刻度のスコアは最も高い10となっています。すべてのWindows/MacOS/LinuxのChromeユーザーに直ちに117.0.5938.132以降のバージョンにアップデートすることを呼びかけています。
Googleによると、同脆弱性はオープンソースのlibvpxビデオコーデックライブラリVP8エンコードに存在しており、ハッカーは特別に細工したVP8ファイルを使用することで、セキュリティ制限を回避し、任意のコードを実行できるようになります。CVE-2023-5217 Day 0脆弱性は現在、スパイウェアをインストールしようとするハッカーに広範囲で悪用されています。
libvpxビデオコーデックライブラリの脆弱性であるため、Chromeだけでなく、原則的にMozilla Firefox、Microsoft Edge、AppleのSafari、Androidなどのネイティブブラウザも被害を免れることはできませんが、現在までにアップデートの通知はありません。