本日、グーグルは、ハッキング・コンテスト中に攻撃者やセキュリティ研究者によって2024年に悪用された10番目のゼロデイ脆弱性にパッチを適用したことを明らかにした。
CVE-2024-7965として追跡され、TheDogとしてのみ知られているセキュリティ研究者によって報告された、今回パッチが適用された深刻度の高い脆弱性は、ジャスト・イン・タイム(JIT)コンパイル用に生成する命令を選択する際のコンパイラバックエンドのバグによって引き起こされる。
グーグルはこの脆弱性について、グーグル・クロームのV8JavaScriptエンジンにおける不適切な実装により、リモートの攻撃者が細工したHTMLページを介してヒープ破壊を悪用する可能性があると説明している。
これは、同社が先週、V8型の混乱の弱点に起因する別の深刻度の高いゼロデイ脆弱性(CVE-2024-7971)を修正したことを明らかにしたブログ記事の更新で発表された。
「このリリース後に報告されたCVE-2024-7965の悪用を反映させるため、2024年8月26日に更新しました。“Googleは、CVE-2024-7971とCVE-2024-7965の悪用が野放しで存在することを認識しています。”
Googleは、Windows/macOSシステム向けのChromeバージョン128.0.6613.84/.85とLinuxユーザー向けのバージョン128.0.6613.84で両方のゼロデイを修正し、水曜日からStable Desktopチャネルで全ユーザーにロールアウトしている。
Chromeはセキュリティパッチが利用可能になると自動的にアップデートされるが、Chromeのメニュー>ヘルプ>Google Chromeについてでアップデートを終了させ、「再起動」ボタンをクリックしてインストールすることで、このプロセスを高速化し、手動でアップデートを適用することもできる。
Googleは、CVE-2024-7971およびCVE-2024-7965の脆弱性が野放しで使用されていることを確認したが、これらの攻撃に関する詳細な情報はまだ共有していない。
「バグの詳細やリンクへのアクセスは、大半のユーザーが修正プログラムでアップデートされるまで制限される可能性があります。
「バグがサードパーティのライブラリに存在し、他のプロジェクトが同様に依存しているが、まだ修正されていない場合にも制限を設けます。
今年に入ってから、Googleは攻撃やPwn2Ownハッキングコンテストで悪用されたとタグ付けされた他の8つのゼロデイにパッチを当てている:
- CVE-2024-0519:ChromeのV8 JavaScriptエンジンに存在する、深刻度の高い境界外メモリアクセスの脆弱性。リモートの攻撃者が、特別に細工されたHTMLページを介してヒープ破壊を悪用し、機密情報への不正アクセスにつながる可能性がある。
- CVE-2024-2887:WebAssembly (Wasm) 標準に深刻度の高い型混乱の脆弱性が存在します。細工された HTML ページを悪用したリモートコード実行 (RCE) につながる可能性があります。
- CVE-2024-2886:ウェブアプリケーションがオーディオやビデオのエンコードやデコードに使用する WebCodecs API に、use-after-free の脆弱性が存在します。リモートの攻撃者はこの脆弱性を悪用して、細工した HTML ページ経由で任意の読み書きを実行し、リモートでコードを実行させます。
- CVE-2024-3159:Chrome V8 JavaScript エンジンに、境界外読み込みによる深刻度の高い脆弱性が存在します。リモートの攻撃者は、特別に細工された HTML ページを使用してこの欠陥を悪用し、割り当てられたメモリバッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を引き出すために悪用される可能性があります。
- CVE-2024-4671:ブラウザでのコンテンツのレンダリングと表示を処理する Visuals コンポーネントに、重大なユーズアフターフリーの欠陥があります。
- CVE-2024-4761:アプリケーションで JS コードを実行する Chrome の V8 JavaScript エンジンに境界外書き込みの問題があります。
- CVE-2024-4947:Chrome V8 JavaScript エンジンに型混乱の弱点があり、ターゲットデバイス上で任意のコードを実行される可能性があります。
- CVE-2024-5274:型の混同 Chrome の V8 JavaScript エンジンに、クラッシュ、データ破損、または任意のコード実行を引き起こす可能性のある脆弱性
Comments