PoC Exploit Published for Chrome 0-day CVE-2024-4947 Vulnerability
2024/05/19 SecurityOnline — 先日にパッチが適用された Google Chrome のゼロデイ脆弱性 CVE-2024-4947 に対して、PoC エクスプロイト・コードの存在が表面化した。したがって、ユーザーにとって重要なことは、このブラウザを最新バージョンにアップデートすることである。先週に Google は、Chrome の緊急セキュリティ・アップデートを発表し、野放し状態で活発に悪用されている深刻なゼロデイ脆弱性に対してパッチを適用した。この深刻度の高い脆弱性は、Chrome の V8 JavaScript エンジンのタイプ・コンフュージョンに起因するものであり、Kaspersky の研究者 Vasily Berdnikov と Boris Larin により発見された。
Google のアドバイザリには、脆弱性 CVE-2024-4947 に対するエクスプロイトの存在を明示され、この脆弱性の深刻な性質が強調されている。一般的に、タイプ・コンフュージョンの脆弱性が悪用されると、脅威アクターによるバッファ境界を越えたメモリの Read/Write が可能となり、ブラウザのクラッシュなどが引き起こされる。さらに、憂慮すべきことは、標的のデバイス上で任意のコード実行の可能性が生じることだ。標的型攻撃において、この脆弱性の積極的な悪用が考えられるため、迅速なセキュリティ・アップデートが必須となる。
セキュリティ研究者の @buptsb と @mistymntncop は、脆弱性 CVE-2024-4947 の詳細な技術分析を行い、その PoC エクスプロイトを発表した。彼らの調査結果によると、この脆弱性の根本的な原因は、モジュール・ネームスペース・オブジェクトに対する V8 の不正な AccessInfo にあり、Maglev 型の混乱を引き起こしているという。このエラーにより、サンドボックス環境内での境界を越えた Read/Write が容易になり、重大なセキュリティ・リスクが生じるという。
この重大な脅威に対応するために、すでに Google は、Mac/Windows 向けに Chrome のバージョン 125.0.6422.60/.61 を、Linux 向けに 125.0.6422.60 をリリースしている。一連のアップデートは、今後の数週間かけて Stable Desktop チャネルの全ユーザーに展開される。Chrome ユーザーに強く推奨されるのは、この脆弱性がもたらすリスクを軽減するために、最新バージョンへとブラウザをアップデートすることだ。
このところ、Chrome のゼロデイ脆弱性が多いですね。今回の脆弱性 CVE-2024-4947 については、Google も存在を認めています。また、順序が前後していますが、2024/05/19 の「CISA KEV 警告 24/05/16:Chrome および D-Link の脆弱性が積極的に悪用されている」にあるように、この脆弱性は CISA KEVにも登録されています。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.