Google Patches Critical Chrome Vulnerability
2024/04/24 SecurityWeek — 4月22日 (月) に Google が発表したのは、深刻な4件の脆弱性を含むセキュリティホールを修正する、Chrome 124 へのアップデートである。その中で、最も深刻な脆弱性である CVE-2024-4058 は、ANGLE グラフィックス・レイヤー・エンジンに存在する、タイプ・コンヒュージョンのバグだと説明されている。この脆弱性は、リモートからの悪用と、限られたユーザー操作による任意のコード実行、サンドボックス・エスケープの可能性を生じるため、深刻度 Critical と評価されている。
この数年における Chrome の脆弱性の中で、深刻度 Critical とレーティングされたものは数件しかない。
この脆弱性 CVE-2024-4058 を発見/報告した、Qrious Secure の2人のメンバーを、Google は高く評価している。そのため、彼らは $16,000 の報奨金を授与されている。
Qrious Secure は、「脆弱性を見つけ出し、その悪用方法を調査して利益を得るという、経験豊富なハッカーのグループだ」と、自らを説明している。
このグループは、別の2件の Chrome の脆弱性を、Google に報告している。彼らは、「脆弱性 CVE-2024-0517 は、リモートからコード実行される可能性があり、また、CVE-2024-0223 は、JavaScript からダイレクトに悪用され、GPU に特権を与える可能性がある」と述べている。ただし、今年の初めに、この2件に対してはパッチが適用されている。
Google は、脆弱性 CVE-2024-4058 の悪用については、何も言及していない。Chrome で発見されたタイプ・コンヒュージョンの脆弱性を悪用する、脅威アクターは珍しくはないが、V8 JavaScript エンジンに影響を与えるのが一般である。
今回の Chrome のアップデートには、バグ報奨金が決定していない、別の2件の深刻な脆弱性にも、パッチが適用されている。それらの内訳は、V8 API における境界外読み取りの脆弱性 CVE-2024-4059 と 、Dawn コンポーネントにおけるuse-after-free の脆弱性 CVE-2024-4060 である。
Google Chrome の脆弱性 CVE-2024-4058 に、Critical の評価が付いたとのことです。たしかに、言われてみれば、Chrome チームは Critical という評価については慎重のようであり、あまり見かけません。それだけに、Chrome のアップデートを忘れないよう、お気をつけください。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.