Google addressed the ninth actively exploited Chrome zero-day this year
2024/08/22 SecurityAffairs — Google は、Chrome 128 の緊急アップデートをリリースし、積極的に悪用されているゼロデイ脆弱性 CVE-2024-7971 に対処した。この脆弱性は、Chrome の V8 Javascript エンジンに存在する、タイプ・コンフュージョンの欠陥だと分類されている。
Google はアドバイザリで、「我々は、CVE-2024-7971 が悪用されているのを確認している」と述べているが、この脆弱性を悪用した攻撃についての詳細は明らかにしていない。
さらに同社は、「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正プログラムでアップデートされるまで制限される可能性がある。また、他のプロジェクトが依存している、未修正のサードパーティ・ライブラリにバグが存在する場合にも、我々は制限を保持する」と述べている。
この脆弱性は、Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) のセキュリティ研究者たちから Google に報告された。
Google は、Windows/macOS 向けに 128.0.6613.84/.85 を、Linux 向けに 128.0.6613.84 をリリースし、この脆弱性に対処した。今後の数週間において、すべての Stable Desktop チャンネル・ユーザー向けのバージョンがリリースされる予定だ。
以下は、2024年に修正された Chrome ブラウザのゼロデイ脆弱性のうち、活発に悪用されている脆弱性のリストである:
- CVE-2024-0519:Chrome の JavaScript エンジンにおける境界外メモリ・アクセスの脆弱性。(2024年1月)
- CVE-2024-2887:WebAssembly に存在する、タイプ・コンフュージョンの脆弱性。 Pwn2Own 2024 で、Manfred Paul により実証された。(2024年3月)
- CVE-2024-2886: WebCodecs に存在する use after free の脆弱性。Pwn2Own 2024 で KAIST Hacking Lab の Seunghyun Lee (@0x10n) により実証された。(2024年3月)
- CVE-2024-3159:V8 JavaScript エンジンにおける、境界外メモリアクセスの脆弱性。Pwn2Own 2024 で、Palo Alto Networks の Edouard Bochin (@le_douds) と Tao Yan (@Ga1ois) により実証された。(2024年3月)
- CVE-2024-4671:Visuals コンポーネントに存在する、use-after-free の脆弱性。 (2024年5月)
- CVE-2024-4761:V8 JavaScript エンジンに存在する、境界外書き込みの脆弱性。 (2024年5月)
- CVE-2024-4947:V8 JavaScript エンジンに存在する、タイプ・コンフュージョンの脆弱性。 (2024年5月)
- CVE-2024-5274:Chrome の V8 JavaScript エンジンにおける、タイプ・コンフュージョンの脆弱性。悪用されると、クラッシュ/データ破壊/任意のコード実行につながる可能性がある。(2024年5月)
昨年と比べて、今年の Chrome ゼロデイは少ないと思っていましたが、そうでもなかったですね。まあ、簡単にアップデートできる製品ですので、速やかに対応していきましょう。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.