Google Chrome

グーグルは本日、攻撃で悪用されているゼロデイ脆弱性を修正するため、新しいChromeの緊急セキュリティアップデートをリリースした。

「Googleは、CVE-2024-7971に対するエクスプロイトが存在することを認識している

この深刻度の高いゼロデイ脆弱性は、ChromeのV8 JavaScriptエンジンの型混乱の弱点によって引き起こされる。Microsoft Threat Intelligence Center(MSTIC)とMicrosoft Security Response Center(MSRC)のセキュリティ研究者が月曜日に報告した。

このようなセキュリティ上の欠陥は、メモリに割り当てられたデータが異なる型として解釈された後に、攻撃者がブラウザのクラッシュを引き起こすことを可能にするのが一般的ですが、パッチの適用されていないブラウザを実行している標的のデバイス上で任意のコードを実行するために悪用することもできます。

グーグルはこのゼロデイを修正し、Windows/macOS版128.0.6613.84/.85とLinux版128.0.6613.84をリリースした。

Chromeはセキュリティパッチが提供されると自動的にアップデートされるが、ユーザーはChromeメニュー>ヘルプ>Google Chromeについてを開き、アップデートを終了させ、「再起動」ボタンをクリックしてインストールすることで、プロセスをスピードアップさせることもできる。

今日のアップデートは、今日の新しいアップデートを探すとすぐに利用可能だった。

Google Chrome 128.0.6613.84

Googleは、CVE-2024-7971脆弱性が攻撃に使用されたことを確認したとはいえ、同社はまだ実際の悪用に関する追加情報を共有していない。

「バグの詳細やリンクへのアクセスは、大半のユーザーが修正プログラムでアップデートされるまで制限される可能性があります」とグーグルは述べている。

「他のプロジェクトが同様に依存しているが、まだ修正されていないサードパーティのライブラリにバグが存在する場合も、制限を維持します。

CVE-2024-7971は、2024年にGoogleがパッチを適用した9番目のChromeゼロデイであり、野生の悪用またはPwn2Ownハッキングコンテストでの悪用のいずれかである:

  • CVE-2024-0519:ChromeのV8 JavaScriptエンジンに深刻度の高い境界外メモリアクセスの弱点があり、リモートの攻撃者が特別に細工したHTMLページを介してヒープ破壊を悪用し、機密情報への不正アクセスにつながる。
  • CVE-2024-2887:WebAssembly (Wasm) 標準に深刻度の高い型混乱の脆弱性が存在します。細工された HTML ページを悪用したリモートコード実行 (RCE) につながる可能性があります。
  • CVE-2024-2886:ウェブアプリケーションがオーディオやビデオのエンコードやデコードに使用する WebCodecs API に、use-after-free の脆弱性が存在します。リモートの攻撃者はこの脆弱性を悪用して、細工した HTML ページ経由で任意の読み書きを実行し、リモートでコードを実行させます。
  • CVE-2024-3159:Chrome V8 JavaScript エンジンに、境界外読み込みによる深刻度の高い脆弱性が存在します。リモートの攻撃者は、特別に細工された HTML ページを使用してこの欠陥を悪用し、割り当てられたメモリバッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を引き出すために悪用される可能性があります。
  • CVE-2024-4671:ブラウザでのコンテンツのレンダリングと表示を処理する Visuals コンポーネントに、重大なユーズアフターフリーの欠陥があります。
  • CVE-2024-4761:アプリケーションで JS コードを実行する Chrome の V8 JavaScript エンジンに境界外書き込みの問題があります。
  • CVE-2024-4947:Chrome V8 JavaScript エンジンに型混乱の弱点があり、ターゲットデバイス上で任意のコードを実行される可能性があります。
  • CVE-2024-5274:型の混同 Chrome の V8 JavaScript エンジンに、クラッシュ、データ破損、または任意のコード実行を引き起こす可能性のある脆弱性