Google Discovers Fourth Zero-Day in Less Than a Month
2024/05/25 DarkReading — Google は、Chrome に存在する深刻度の高いセキュリティ上の脆弱性 CVE-2024-5274 に関するアップデートを公開した。CVE-2024-5274 は、V8 JavaScript/WebAssembly エンジンにおけるタイプ・コンフュージョンの脆弱性であり、その脅威度は High に分類されている。
このようなタイプ・コンフュージョンの脆弱性は、攻撃者が変数を更新した場合に発生し、意図しないアクションが引き起こされる可能性がある。この脆弱性の悪用に成功した攻撃者は、クラッシュの誘発/任意のコード実行/アクセス制御のバイパスなどが可能になる。
この脆弱性の報告者は、2人の研究者である: Google Threat Analysis Group の Clement Lecigne と、Chrome Security の Brendon Tiszka だ。
2024年5月に入ってから、Google がパッチを適用したゼロデイ脆弱性は、CVE-2024-4947/CVE-2024-4761/CVE-2024-4671 に続いて4件目となる。
Google は、Windows と macOS ユーザーに対しては Chrome のバージョン125.0.6422.112/.113 へと、また、Linux ユーザーに対してはバージョン 125.0.6422.112 にアップグレードするように推奨している。また、Chromium ベースのユーザーに対しては、利用可能になった修正プログラムを適用するよう求めている。
文中にもあるように、このところ Chrome のゼロデイが多発しています。5月に入ってから、今回で4回目とのことですが、調べてみたら 5月9日の use after free、5月13日の Out of Bounds Write、5月15日の Type Confusion という順番でした。発生箇所は、IDE であったり、V8 エンジンだったりという具合です。なお、この脆弱性 CVE-2024-5274 は、5月28日の時点で、CISA KEV カタログに登録されています。
IoT OT Security News 
You must be logged in to post a comment.