Google Patches Chrome Flaw That Earned Hackers $42,500 at Pwn2Own
2024/04/03 SecurityWeek — 4月2日 (火) に Google は、2024年3月に開催された Pwn2Own ハッキング・コンテストで証明された、新たなゼロデイ脆弱性を解決する Chrome アップデートを発表した。この、深刻度の高い脆弱性 CVE-2024-3159 は、V8 JavaScript および WebAssembly エンジンに存在する、境界外メモリ・アクセスの問題に起因すると説明されている。
この脆弱性の悪用方法を、Pwn2Own Vancouver 2024 で証明したのは、Palo Alto Networks の Edouard Bochin とTao Yan であり、彼らは報奨金として $42,500 を獲得した。
3月22日の Trend Micro – Zero Day Initiative (ZDI) の発表は、「OOB Read と V8 のハードニングを突破する新たなテクニックを用いて、レンダー内で任意のコードを実行させた」というものだった。
脆弱性 CVE-2024-3159 は、今回の Pwn2Own で実証された、3つ目の Chrome ゼロデイ脆弱性となる。すでに Google は、WebCodecs における use-after-free の脆弱性 CVE-2024-2886 と、WebAssembly のタイプ・コンヒュージョンの脆弱性 CVE-2024-2887 に対して、アップデートを完了している。
最新の Chrome アップデートでは、脆弱性 CVE-2024-3159 への対応に加えて、外部の研究者から報告された、別の2件の脆弱性も解決されている。それらは、V8 エンジンにおける不適切な実装の脆弱性 CVE-2024-3156 と、ブックマークにおける use-after-free の脆弱性 CVE-2024-3158 である。
Google によると、これら2件の脆弱性に対して、それぞれ $7000 と $3000 の報奨金が支払われたとのことだ。ただし、脆弱性 CVE-2024-3159 については、Pwn2Own での報奨金があるため、追加の支払いは行われないという。
最新の Chrome は、Windows/macOS 用としてバージョン23.0.6312.105/.106/.107 がリリースされ、Linux 用にバージョン 123.0.6312.105 がリリースされている。
これらの脆弱性の悪用については、Google は何も言及していない。ユーザーに対して推奨されるのは、可能な限り早急に Chrome をアップデートすることだ。
Pwn2Own Vancouver 2024 で証明された、Google Chrome の2つの脆弱性に関しては、2024/03/27 の「Google Chrome のゼロデイ CVE-2024-2887/2886 が FIX:Pwn2Own 2024 で悪用が証明された」をご参照ください。また、その後の 2024/03/28 にも、「Chrome の権限昇格の脆弱性 CVE-2024-0333:技術詳細が公開」という記事がポストされています。
IoT OT Security News 
You must be logged in to post a comment.