Google Rushes to Patch Chrome Zero-Day Exploit: CVE-2024-4671
2024/05/09 SecurityOnline — Google が発表したのは、すでに Chrome で悪用が確認されている、深刻な脆弱性に対処する緊急のセキュリティ・アップデートである。その脆弱性 CVE-2024-4671 、Chrome ブラウザの Visuals コンポーネント内に存在する、use after free のバグに起因する。
脆弱性 CVE-2024-4671 は、Chromeブラウザの “Visuals” コンポーネントにおける、use after free の欠陥として分類されている。このタイプの脆弱性は、プログラムの動作中における、動的メモリの不正な使用を指す。対象となるアプリケーションが、メモリ・ロケーションの解放後に、メモリへのポインタをクリアしなかった場合に、この見落としを悪用する攻撃者は、そのシステム上で任意のコードを実行する可能性を持つ。その結果として、不正なデータアクセスやデータ操作が発生し、影響を受けるシステムのコントロールが奪われる可能性へといたる。
この脆弱性は匿名の研究者により発見され、Google へと報告された。Google は、「脆弱性 CVE-2024-4671に対するエクスプロイトが、野放し状態になっていることを認識している」と述べ、この脅威を速やかに認めた。そして、報告を受けてから僅か2日以内に、この脆弱性からユーザーを保護するための、アップデートを開発/リリースした。
今回の緊急アップデートは、Chrome の Stable Desktop チャネルのユーザー向けに発行され、Mac/Windows 向けにバージョン 124.0.6367.201/124.0.6367.202 が、Linux 向けにバージョン 124.0.6367.201 が提供されている。これらのアップデートにより、脆弱性 CVE-2024-4671 へのパッチが適用され、潜在的な悪用が防がれる。
大半のケースで、Chrome は自動的にアップデートされるが、手動で強制的にアップデートすることも可能だ:
- Chrome ウィンドウの右上にある、3つのドット (タテ) をクリックする。
- Help > About Google Chrome へ移動する。
- Chrome で利用できるアップデートを確認してインストールする。
すでに、手元の環境では Chrome がアップデートされ、Version 124.0.6367.202 が動いています。この CVE-2024-4671 は、野放し状態での悪用が確認されている脆弱性なので、アップデートを、お急ぎください。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.