Google Chrome

グーグルは、1週間以内に攻撃で悪用された3つ目のゼロデイ脆弱性に対処するため、新たなChromeセキュリティ・アップデートを緊急リリースした。

「Googleは、CVE-2024-4947のエクスプロイトが存在することを認識している」と、検索大手は水曜日に公開されたセキュリティアドバイザリで述べている。

この深刻度の高いゼロデイ脆弱性(CVE-2024-4947)は、KasperskyのVasily Berdnikov氏とBoris Larin氏によって報告されたChrome V8JavaScriptエンジンのタイプ混同の脆弱性によるもので、標的型攻撃で積極的に悪用されているとタグ付けされている

このような欠陥は一般的に、脅威者がバッファ境界外のメモリを読み書きすることでブラウザのクラッシュを引き起こすことを可能にしますが、標的のデバイス上で任意のコードを実行するために悪用することも可能です。

今週パッチが適用された、積極的に悪用されるChromeの他の2つのゼロデイとは、CVE-2024-4671(Visualsコンポーネントにおけるuse-after-freeの欠陥)とCVE-2024-4761(V8 JavaScriptエンジンにおける境界外書き込みのバグ)である。

マイクロソフトはまたCVE-2024-4947を標的とした「最近野放しになっているエクスプロイトを認識している」とし、同社のエンジニアがChromiumベースのEdgeウェブブラウザ向けに「セキュリティ修正プログラムのリリースに積極的に取り組んでいる」と述べた。

CVE-2024-4947 tweet

安定版ユーザーへの修正プログラムの提供

同社は、Mac/Windows向けの125.0.6422.60/.61とLinux向けの125.0.6422.60をリリースし、ゼロデイ欠陥を修正した。この新バージョンは、今後数週間かけてStable Desktopチャンネルの全ユーザーに提供される。

Chromeはセキュリティパッチが提供されると自動的にアップデートされる。しかし、ユーザーは、Chromeメニュー>ヘルプ>Google Chromeについてと進み、アップデートを終了させ、「再起動」ボタンをクリックしてインストールすることで、最新バージョンを実行していることを確認することもできる。

本日のアップデートは、新しいアップデートをチェックするとすぐに利用できるようになった。

Chrome 125.0.6422.61 update

2024年にパッチが適用された、悪用が活発な7番目のゼロデイ

グーグルは、CVE-2024-4947バグが攻撃に使用されたことを確認したが、同社はこれらのインシデントに関する詳細をまだ共有していない。

「バグの詳細やリンクへのアクセスは、大半のユーザーが修正プログラムでアップデートされるまで制限される可能性があります。また、バグがサードパーティのライブラリに存在し、他のプロジェクトが同様に依存しているが、まだ修正されていない場合にも制限を設けます」とグーグルは述べている。

この最新のChromeの脆弱性は、今年に入ってからGoogleのウェブブラウザで修正された7番目のゼロデイであり、2024年にパッチが適用されたゼロデイの全リストは以下の通り:

  • CVE-2024-0519:ChromeのV8 JavaScriptエンジンに重大度の高い境界外メモリアクセスの脆弱性があり、リモートの攻撃者が特別に細工したHTMLページを介してヒープ破壊を悪用し、機密情報への不正アクセスにつながる。
  • CVE-2024-2887:WebAssembly (Wasm) 標準に深刻度の高い型混乱の脆弱性が存在します。細工された HTML ページを悪用したリモートコード実行 (RCE) につながる可能性があります。
  • CVE-2024-2886:ウェブアプリケーションがオーディオやビデオのエンコードやデコードに使用する WebCodecs API に、use-after-free の脆弱性が存在します。リモートの攻撃者はこの脆弱性を悪用して、細工した HTML ページ経由で任意の読み書きを実行し、リモートでコードを実行させます。
  • CVE-2024-3159:Chrome V8 JavaScript エンジンに、境界外読み込みによる深刻度の高い脆弱性が存在します。リモートの攻撃者は、特別に細工された HTML ページを使用してこの欠陥を悪用し、割り当てられたメモリバッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を引き出すために悪用される可能性があります。
  • CVE-2024-4671:ブラウザでのコンテンツのレンダリングと表示を処理する Visuals コンポーネントに、重大なユーズアフターフリーの欠陥があります。
  • CVE-2024-4761:アプリケーションで JS コードを実行する Chrome の V8 JavaScript エンジンに境界外書き込みの問題があります。