Chrome

グーグルは、Chromeブラウザーのセキュリティ・アップデートをリリースし、今年に入ってから悪用された5番目のゼロデイ脆弱性を修正した。

CVE-2024-4671」として追跡されている深刻度の高い問題は、ブラウザ上でコンテンツのレンダリングと表示を処理する「Visuals」コンポーネントにおける「use after free」の脆弱性である。

グーグルは、匿名の研究者によって発見・報告されたこの脆弱性が攻撃に悪用されたことを明らかにした。

「グーグルは、CVE-2024-4671に対するエクスプロイトが存在することを認識している」と、アドバイザリには書かれている

Use-after-freeの欠陥は、ポインタが指すメモリが解放された後、その領域に対する正当な操作が完了した後もプログラムがポインタを使用し続ける場合に発生するセキュリティ上の欠陥である。

解放されたメモリには別のデータが格納されていたり、他のソフトウェアやコンポーネントによって使用されている可能性があるため、そのメモリにアクセスするとデータ漏洩やコード実行、クラッシュが発生する可能性がある。

Googleは、Mac/Windows版124.0.6367.201/.202とLinux版124.0.6367.201をリリースし、この問題に対処した。

Extended Stable」チャンネルのユーザーに対しては、MacおよびWindows向けのバージョン124.0.6367.201で修正が提供される。

Chromeはセキュリティアップデートが提供されると自動的にアップデートされるが、ユーザーは「設定」>「Chromeについて」でアップデートを終了させ、「再起動」ボタンをクリックして適用することで、最新バージョンを実行していることを確認できる。

Update

グーグル・クロームで対処されたこの最新の欠陥は、2024年3月にバンクーバーで開催されたハッキング・コンテスト「Pwn2Own」で発見された他の3件と合わせ、今年5件目となる。

2024年に入ってから修正されたChromeのゼロデイ脆弱性の全リストには、以下も含まれている:

  • CVE-2024-0519:ChromeのV8 JavaScriptエンジンに重大度の高い境界外メモリアクセスの脆弱性があり、リモートの攻撃者が特別に細工されたHTMLページを介してヒープ破壊を悪用し、機密情報への不正アクセスにつながる。
  • CVE-2024-2887:WebAssembly (Wasm) 標準に深刻度の高い型混乱の脆弱性が存在します。細工された HTML ページを悪用したリモートコード実行 (RCE) につながる可能性があります。
  • CVE-2024-2886:ウェブアプリケーションがオーディオやビデオのエンコードやデコードに使用する WebCodecs API に、use-after-free の脆弱性が存在します。リモートの攻撃者はこの脆弱性を悪用して、細工した HTML ページ経由で任意の読み書きを実行し、リモートでコードを実行させます。
  • CVE-2024-3159:Chrome V8 JavaScript エンジンに、境界外読み込みによる深刻度の高い脆弱性が存在します。リモートの攻撃者は、特別に細工された HTML ページを使用してこの脆弱性を悪用し、割り当てられたメモリバッファを超えるデータにアクセスします。