Google Chrome ゼロデイ脆弱性 CVE-2024-7965 が FIX:悪用が確認されている

Google tags a tenth Chrome zero-day as exploited this year

2024/08/26 BleepingComputer — Google は、10番目のゼロデイ脆弱性 CVE-2024-7965 に対して、パッチを適用したことを明らかにした。この脆弱性は、2024年のハッキング・コンテストにおいて、セキュリティ研究者たちにより悪用の可能性が証明されている。脆弱性 CVE-2024-7965 は、Google Chrome の V8 JavaScript エンジンの不適切な実装として説明されており、リモートの攻撃者が細工された HTML ページを介して、ヒープ破壊を達成する可能性があるという。セキュリティ研究者 TheDog により報告された、この脆弱性だが、すでにパッチが適用されている。


8月21日のブログ記事では、Google Chrome V8 のタイプ・コンフュージョンに起因する、別のゼロデイ脆弱性 CVE-2024-7971 の修正が明らかにされたが、その時に、脆弱性 CVE-2024-7965も発表されている。

上記のブログを 8月26日に更新した Google は、「我々は、CVE-2024-7971/CVE-2024-7965 に対するエクスプロイトが野放し状態で存在することを認識している」と述べている。そして同社は、Windows/macOS 向けの Chrome 128.0.6613.84/.85 と、Linux 向けの Chrome 128.0.6613.84 において、2つのゼロデイ脆弱性を修正した。

Chrome は、セキュリティ・パッチが利用可能になると自動的にアップデートされるが、下記の手順により手動でアップデートすることも可能だ。Chrome の Menu > Help > About Google Chrome において、アップデートを終了させ、[再起動] ボタンをクリックしてインストールする。

Google Chrome 128.0.6613.85

脆弱性 CVE-2024-7971/CVE-2024-7965 が、野放し状態で悪用されていることを Google は認めているが、現時点においては、これらの攻撃に関する詳細情報については共有していない。

同社は、「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正版をアップデートするまで制限され続けるかもしれない。また、そのバグがサードパーティのライブラリに存在し、他のプロジェクトも依存しているが、修正されていない場合にも、制限を維持する」と述べている。

2024年に入ってから、Google は攻撃や Pwn2Own ハッキング・コンテストで悪用されたとタグ付けされた、以下の8つのゼロデイにもパッチを当てている:

  • CVE-2024-0519:Chrome の V8 JavaScript エンジンに存在する、深刻度の高い境界外メモリアクセスの脆弱性。リモートの攻撃者が特別に細工した HTML ページを介してヒープ破壊を引き起こし、機密情報への不正アクセスを実行する可能性がある。
  • CVE-2024-2887:WebAssembly (Wasm) 標準における、深刻度の高いタイプ・コンフュージョンの脆弱性。細工された HTML ページを悪用した、リモート・コード実行につながる可能性がある。
  • CVE-2024-2886:Web アプリケーションがオーディオやビデオのエンコード/デコードに使用する WebCodecs API に存在する、use-after-free の脆弱性。この脆弱性の悪用に成功した攻撃者は、細工した HTML ページ経由で任意の読み書きを達成し、リモート・コード実行の可能性を手にする。
  • CVE-2024-3159:Chrome V8 JavaScript エンジンに存在する、境界外読み取りによる深刻度の高い脆弱性。特別に細工された HTML ページを介して、この欠陥を悪用するリモートの攻撃者は、割り当てられたメモリバッファを超えるデータにアクセスし、ヒープ破壊を引き起こし、機密情報を抜き取る可能性を手にする。
  • CVE-2024-4671:ブラウザでのコンテンツのレンダリングと表示を処理する、Visuals コンポーネントに存在する、use-after-free の脆弱性。
  • CVE-2024-4761:Chrome の V8 JavaScript エンジンに存在する、境界外書き込みの脆弱性。
  • CVE-2024-4947:Chrome V8 JavaScript エンジンにおける、タイプ・コンフュージョンの脆弱性。ターゲットデバイス上で任意のコードを実行される恐れがある。
  • CVE-2024-5274:Chrome V8 JavaScript エンジンにおける、タイプ・コンフュージョンの脆弱性。クラッシュ/データ破損/任意のコード実行などを引き起こす可能性がある。

文中でも指摘されているように、2024/08/22 の「Google Chrome 128 の緊急アップデート:悪用されるゼロデイ CVE-2024-7971 を FIX」でも、Chrome のゼロデイが報道されていました。これで、今年に入ってから、9回目と 10回目のゼロデイとなります。日本時間の 8月29日の朝の時点で、すでにアップデートは可能になっていました。よろしければ、Chrome で検索も、ご利用ください。