CVE-2024-4761: Zero-Day Vulnerability Patched in Google Chrome
2024/05/13 SecurityOnline —Google Chrome に存在する、深刻度の高いゼロデイ脆弱性が対処された。脆弱性 CVE-2024-4761 は、Chrome の JavaScript エンジン V8 で発見された、Out of Bounds Write の欠陥に起因するものだ。この重大なセキュリティ問題は、匿名の研究者により発見/報告され、最新のブラウザが直面する継続的な脅威が浮き彫りにされた。
脆弱性の詳細
脆弱性 CVE-2024-4761 は、”Out of Bounds Write” の問題として分類される。具体的に言うと、事前に割り当てられたメモリの境界外に、プログラムがデータを書き込む場合に発生する欠陥である。このタイプの脆弱性が悪用されると、任意のコード実行/データ破壊/システム・クラッシュなどの、いくつかの深刻な結果につながる可能性がある。Web ブラウザの場合には、リモートの攻撃者が悪意のコードを実行し、ユーザーのシステムを危険にさらす可能性があるため、重大なリスクとなる。
野放し状態での悪用
Google はアドバイザリの中で、この脆弱性が活発に悪用されていることを認めたが、ユーザーを保護するために、攻撃に関する具体的な詳細は伏せている。同社は、「CVE-2024-4761に対するエクスプロイトが、野放し状態で存在することを認識している」と述べている。エクスプロイトに関する詳細な情報は無いが、潜在的なリスクを軽減するために必要なのは、このブラウザの迅速なアップデートである。
セキュリティ・アップデートの展開
この重大な問題に対処するために、Google は Chrome のセキュリティ・アップデートをリリースした。このアップデートは、Mac/Windows 向けにはバージョン 124.0.6367.207/.208 として、また、Linux 向けにはバージョン 124.0.6367.207 として提供されている。これらのアップデートは、今後の数日から数週間にわたって提供される。
また、Microsoft Edge/Brave/Opera/Vivaldi などの、Chromium ベースのブラウザに対しても、修正が利用可能になり次第、アップデートの適用が推奨される。これらのブラウザは、Chrome と同じコードを共有しているため、同じ脆弱性の影響を受けやすい。
Chromium における Out of Bounds Write の脆弱性 CVE-2024-4761 ですが、Chrome では FIX したとのことです。文中にもあるように、今後は Edge/Brave/Opera/Vivaldi などでも対応されるのでしょう。よろしければ、2024/04/08 の「Google が Chrome に搭載する V8 Sandbox:Web ブラウザのメモリ破損に対する最適解とは?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.