Google Chrome Update Fixes Critical Code Execution Vulnerability (CVE-2024-7532)
2024/08/06 SecurityOnline — Google は Chrome 127 stable channel 版をリリースし、6件の脆弱性を修正した。このアップデート・バージョンは、Windows/Mac 用の 127.0.6533.99/.100 および、Linux 用の 127.0.6533.99 であり、今後の数日から数週間かけて順次配布される。
重大な脆弱性と深刻度の高い欠陥
今回のアップデートで修正された、脆弱性の詳細は以下の通りである:
- CVE-2024-7532 (脅威度 Critical):Chrome で使用されている 2D/3D グラフィックス・レンダリング・エンジン ANGLE における、境界外メモリアクセス。この脆弱性により、攻撃者はターゲットのシステム上で任意のコードを実行する可能性を得る。
- CVE-2024-7533 (脅威度 High):ユーザー間でコンテンツを共有するための、Chrome の機能 Sharing に存在する、Use-after-free の脆弱性。この欠陥により、攻撃者はユーザーのブラウザを制御する可能性を得る。
- CVE-2024-7536 (脅威度 High):オーディオ処理/再生のための Chrome API である WebAudio に存在する、Use-after-free の脆弱性。この欠陥により、攻撃者は任意のコードを実行する可能性を得る。
- CVE-2024-7550 (脅威度 High):Chrome の JavaScript エンジン V8 における、タイプ・コンフュージョンの脆弱性。この脆弱性により、任意のコードを実行される可能性が生じる。
- CVE-2024-7535 (脅威度 High):V8 における不適切な実装の脆弱性。この脆弱性の悪用に成功した攻撃者が、セキュリティ対策を回避する可能性が生じる。
- CVE-2024-7534 (脅威度 High):Web ページをレンダリングするコンポーネント Layout に存在する、ヒープバッファ・オーバーフローの脆弱性。この脆弱性が悪用されると、Chrome のクラッシュや、悪意のコード実行にいたる可能性がある。
直ちにアップデートを!
現時点において Google は、これらの脆弱性を悪用する攻撃について、確認されていないとしている。その一方で、すべてのユーザーに対して、可能な限り早急に Chrome をアップデートするよう呼びかけている。ユーザー・データ/プライバシー/システム・セキュリティなどを、危険にさらす攻撃から身を守るために、このアップデートは不可欠である。
ブラウザの安全性を確保するためには、アップデートが提供されたら、ただちに適用することが重要である。通常において Chrome は、アップデートを自動的に処理するが、ブラウザのメニューから [ヘルプ] > [Google Chrome について] へと進み、手動でアップデートを確認することも可能だ。
Chrome における直近の脆弱性情報は、2024/07/30 の「Google Chrome の脆弱性 CVE-2024-6990 などが FIX:直ちにアップデートを!」であり、立て続けという感じがします。ただ、昨年と比べると、ゼロデイは少ない感じがします。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.