Googleは、攻撃で悪用される危険性の高いゼロデイ脆弱性に対処するため、Chromeブラウザのセキュリティアップデートを緊急リリースした。
この修正は、GoogleがVisualsコンポーネントのuse-after-freeの脆弱性に起因するChromeの別のゼロデイ脆弱性CVE-2024-4671に対処してからわずか3日後のことである。
最新のバグはCVE-2024-4761として追跡されている。これは、アプリケーションでJSコードを実行するChromeのV8 JavaScriptエンジンに影響を与える境界外書き込みの問題です。
境界外書き込みの問題は、プログラムが指定された配列またはバッファの外側にデータを書き込むことを許可された場合に発生し、不正なデータアクセス、任意のコードの実行、プログラムのクラッシュを引き起こす可能性があります。
「Googleは、CVE-2024-4761に対するエクスプロイトが存在することを認識しています。
同社は、Mac/Windows用の124.0.6367.207/.208とLinux用の124.0.6367.207のリリースでセキュリティ上の欠陥を修正した。このアップデートは、今後数日から数週間かけて全ユーザーに配布される。
Extended Stable」チャンネルのユーザーには、MacおよびWindows向けのバージョン124.0.6367.207で修正が提供される。
Chromeはセキュリティアップデートが提供されると自動的にアップデートされるが、ユーザーは「設定」>「Chromeについて」でアップデートを終了させ、「再起動」ボタンをクリックして適用することで、最新バージョンを実行していることを確認できる。
攻撃で悪用される6つ目のゼロデイ
この最新のGoogle Chromeの脆弱性は、人気のあるウェブブラウザで発見され修正された6番目のゼロデイバグである。
同社は、匿名の研究者が2024年5月9日にこの欠陥を報告したと記しているが、現時点ではそれ以上の詳細は明らかにされていない。
「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正プログラムでアップデートされるまで制限される可能性があります。また、バグがサードパーティのライブラリに存在し、他のプロジェクトが同様に依存しているが、まだ修正されていない場合も制限を維持します」とグーグルは述べている。
これまでに2024年に修正されたChromeのゼロデイ欠陥は以下の通り:
- CVE-2024-0519:ChromeのV8 JavaScriptエンジンに重大度の高い境界外メモリアクセスの弱点があり、リモートの攻撃者が特別に細工したHTMLページを介してヒープ破壊を悪用し、機密情報への不正アクセスにつながる。
- CVE-2024-2887:WebAssembly (Wasm) 標準に深刻度の高い型混乱の脆弱性が存在します。細工された HTML ページを悪用したリモートコード実行 (RCE) につながる可能性があります。
- CVE-2024-2886:ウェブアプリケーションがオーディオやビデオのエンコードやデコードに使用する WebCodecs API に、use-after-free の脆弱性が存在します。リモートの攻撃者はこの脆弱性を悪用して、細工した HTML ページ経由で任意の読み書きを実行し、リモートでコードを実行させます。
- CVE-2024-3159:Chrome V8 JavaScript エンジンに、境界外読み込みによる深刻度の高い脆弱性が存在します。リモートの攻撃者は、特別に細工された HTML ページを使用してこの欠陥を悪用し、割り当てられたメモリバッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を引き出すために悪用される可能性があります。
- CVE-2024-4671:ブラウザ上のコンテンツのレンダリングと表示を処理する Visuals コンポーネントに、重大なユーズアフターフリーの欠陥があります。
Comments