Google Chrome の深刻な脆弱性 CVE-2024-4947 が FIX:悪用を確認

Google fixes third actively exploited Chrome zero-day in a week

2024/05/15 BleepingComputer — Google Chrome のセキュリティ・アップデートが緊急リリースされ、この1週間で攻撃で悪用された3つ目のゼロデイ脆弱性への対処が完了した。5月15日 (水) 公開されたセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2024-4947 が悪用されていることを認識している」と述べている。同社は、Mac/Windows 用の 125.0.6422.60/.61 と、Linux 用の 125.0.6422.60のリリースにより、このゼロデイ欠陥を修正した。新バージョンは、今後の数週間をかけて、Stable Desktop チャンネルに登録されている全ユーザーに配布される。


Chrome はセキュリティパッチが提供されると、自動的にアップデートされる。ただしユーザーは、Chrome menu > Help > About Google Chrome へと進み、アップデートを終了させ、再起動ボタンでインストールすることで、最新バージョンへと移行できる。

BleepingComputer が確認したところ、今日のアップデートは直ちに利用できる状態にあった。

Chrome 125.0.6422.61 update


この深刻度の高いゼロデイ脆弱性 CVE-2024-4947 は、Kaspersky の Vasily Berdnikov と Boris Larin によって報告された、Chrome V8 JavaScript エンジンのタイプ・コンヒュージョンに起因するものだ。

一般的に、このような脆弱性の悪用に成功した攻撃者は、バッファ境界外のメモリを読み書きすることで、Web ブラウザのクラッシュを引き起こすことを可能にする。その一方で、標的とするデバイス上で、任意のコードを実行するために悪用することも可能だ。

Google は、脆弱性 CVE-2024-4947 が、攻撃に使用されたことを認めているが、そのインシデントの詳細については、まだ明らかにしていない。Google は「バグの詳細やリンクへのアクセスは、大半のユーザーが修正プログラムでアップデートされるまで、制限される可能性がある。他のプロジェクトが依存している可能性があり、また、修正されていないサードパーティのライブラリにバグが存在する場合も、制限を維持する予定である」と述べている。

積極的に悪用される7番目のゼロデイと 2024年のパッチ適用

今回の Chrome の脆弱性は、今年に入ってから修正が施された7番目のゼロデイである。2024年にパッチが適用されたゼロデイの全リストは、以下の通りである:

CVE-2024-0519:Chrome V8 JavaScript エンジンに存在する、深刻度の高い境界外メモリアクセスの脆弱性。リモートの攻撃者が、特別に細工した HTML ページを介してヒープ破壊を悪用することで、機密情報への不正アクセスにつながる。

CVE-2024-2887:WebAssembly (Wasm) スタンダードに存在する、深刻度の高いタイプ・コンヒュージョンの脆弱性。特別に細工された HTML ページにより、リモートコード実行 (RCE) につながる可能性がある。

CVE-2024-2886:Web アプリのオーディオ/ビデオのエンコード/デコードに用いられる WebCodecs API に存在する、use-after-free の脆弱性。この脆弱性を悪用に成功したリモートの攻撃者は、細工した HTML ページを介して任意の読み書きを実行し、リモートコード実行を達成する。

CVE-2024-3159:Chrome V8 JavaScript エンジンに存在する、深刻度の高い境界外読み込みの脆弱性。特別に細工された HTML ページを使用して、この欠陥を悪用するリモートの攻撃者は、割り当てられたメモリ・バッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を引き出す可能性を持つ。

CVE-2024-4671:Web ブラウザ上でコンテンツのレンダリングを処理する Visuals コンポーネントに存在する、深刻な use-after-free の脆弱性。

CVE-2024-4761:アプリケーションで JS コードを実行する Chrome V8 JavaScript エンジンに存在する、境界外書き込みの脆弱性。

このところ、Chrome のゼロデイ脆弱性が続いています。文中にもあるように、2024/05/09 には CVE-2024-4671 が、2024/05/13 には CVE-2024-4761 というふうに、悪用の報告が立て続けという状況です。ご利用の方は、可能な限り早急に、アップデートを行うようにしてください。よろしければ、Chrome で検索も、ご利用ください。