Urgent Chrome Update: Google Patches Critical Security Flaw (CVE-2024-6990)
2024/07/30 SecurityOnline — Google Chrome の3つの脆弱性 CVE-2024-6990/CVE-2024-7255/CVE-2024-7256 を修正するための、緊急アップデートが公開された。この脆弱性を悪用する脅威アクターにより、ブラウザの機能の弱点が攻撃されると、ユーザーのセキュリティが損なわれる可能性が生じる。
CVE-2024-6990 (深刻度 Critical)
最も深刻な脆弱性である CVE-2024-6990 は、Chrome の Dawn コンポーネントにおける、未初期化使用のバグである。この種の脆弱性は、ブラウザの予期せぬ動作を引き起こし、悪意のコード実行の扉を開く可能性を持つ。この脆弱性は、7月15日の時点で、セキュリティ研究者 gelatin dessert により発見されている。その悪用に成功した攻撃者により、マルウェアのインストール/機密データの窃取などの、悪意の活動が引き起こされる可能性がある。
CVE-2024-7255 (深刻度 High)
脆弱性 CVE-2024-7255 は、WebTransport コンポーネントにおける境界外読み取りのバグであり、Marten Richter により報告されたものだ。この種の脆弱性により、ブラウザのクラッシュや不安定化が引き起こされると、さらなる攻撃を受けやすくなる。
CVE-2024-7256 (深刻度 High)
この脆弱性は、Dawn における不十分なデータ検証のバグに起因し、攻撃者に悪意のコード注入の機会を与える可能性が生じる。1つ目の脆弱性 CVE-2024-6990 と同じく、gelatin dessert により発見された。
直ちにアップデートを!
これらの脆弱性の重大性を考慮し、Google は全ての Chrome ユーザーに対して、可能な限り早急にブラウザをアップデートするよう促している。今回のアップデート・バージョンは、Windows/macOS 向けの Chrome 127.0.6533.89/127.0.6533.88 と、Linux 向けの Chrome 127.0.6533.88 であり、今後の数日から数週間かけて順次提供される。手動でアップデートする場合には、Chrome のバージョン情報セクションにアクセスすれば、アップデートの有無を確認できる。
今回の Chrome の脆弱性はゼロデイではなく、野放し状態の攻撃も観測されていないようです。とは言え、標的にされやすい Chrome ですので、いまのうちにアップデートを済ませてください。よろしければ、Chrome + Vulnerability で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.