Google Chrome 126 Update Addresses Multiple High-Severity Flaws
2024/06/19 SecurityAffairs — Google は Chrome 126 セキュリティ・アップデートをリリースし、SSD Secure Disclosure の TyphoonPWN 2024で実証された、CVE-2024-6100 などの6件の脆弱性に対処した。韓国のソウルで開催される TyphoonPWN は、攻撃型セキュリティ・カンファレンス TyphoonCon の中のライブ・ハッキング大会である。
この脆弱性 CVE-2024-6100 は、SSD Secure Disclosure の TyphoonPWN 2024 に参加した Seunghyun Lee (@0x10n) が、6月4日に証明した V8 スクリプト・エンジンにおける深刻なタイプ・コンヒュージョンの欠陥である。
この問題を報告した Lee は、$20,000 のバグ報奨金を受け取った。
その他にも、Google は以下の問題にも対処している:
CVE-2024-6101:WebAssembly における不適切な実装の脆弱性:この問題は、5月31日に @ginggilBesel から報告され、Google からは $7000 の報奨金が提供された。
CVE-2024-6102:Dawn における深刻な境界外メモリアクセスの脆弱性:この問題は、5月7日に wgslfuzz から報告された。
CVE-2024-6103:Dawn における解放後メモリ使用の脆弱性:この問題は、6月4日に wgslfuzz から報告された。
Google は、それらの脆弱性に関する技術的な詳細は共有していない。ただし、Chrome 126 のセキュリティ・アップデートで対処された、一連の脆弱性を悪用する攻撃は認識していないと述べている。
Chrome 126 セキュリティ・アップデートは、すでにユーザーへの配布が始まっている。Linux はバージョン 126.0.6478.114 であり、Windows/macOS はバージョン 126.0.6478.114/115 となる。
TyphoonCon のハッキング大会で、Chrome の3件の脆弱性が明らかにされたとのことです。最近は、日本でも、Shield Stone というサイバー・セキュリティ競技会が開催されているようです。アジアでの動きが活発になると良いですね。関連情報として、2024/06/18 には「中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する」という記事をポストしています。もう、すでに、Chrome 126 のパッチは届いているはずなので、速やかなアップデートが推奨されます。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.