U.S. CISA adds Google Chromium V8 bug to its Known Exploited Vulnerabilities catalog
2024/08/28 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Google Chromium V8 における不適切な実装の脆弱性 CVE-2024-7965 (CVSS:8.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で Google は、活発に悪用されている Chrome のゼロデイ脆弱性 CVE-2024-7965 などに対処するセキュリティ・アップデートを、8月21日にリリースしている。
Google はアドバイザリで、「我々は、CVE-2024-7971/CVE-2024-7965 に対するエクスプロイトが野放しになっていることを認識している」と述べているが、これらの脆弱性を悪用する、攻撃についての詳細は公開していない。
同社は、「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正プログラムでアップデートされるまで、制限され続けるかもしれない。また、バグがサードパーティのライブラリに存在し、他のプロジェクトも同様に依存しているが、まだ修正されていない場合も、制限を維持する」と述べている。
脆弱性 CVE-2024-7965 は、2024年7月30日に、セキュリティ研究者 TheDog により報告されたものだ。
すでに Google は、Windows/macOS 向けに 128.0.6613.84/.85 と、Linux 向けに 128.0.6613.84 をリリースし、この脆弱性に対処している。同社は今後の数週間にわたって、Stable Desktop チャネルにおいて、すべてのユーザーへ向けて新バージョンをリリースする予定だ。
BOD (Binding Operational Directive)22-01 に基づき、既知の脆弱性を悪用した攻撃からネットワークを守るため、FCEB 機関は期日までに、特定された脆弱性に対処しなければならない。CISA は連邦政府機関に対し、対処の期日を 2024年9月18日までとしている。
専門家たちは、民間組織も KEV カタログを見直し、インフラストラクチャにおける脆弱性に対処することを推奨している。
Google Chrome の脆弱性 CVE-2024-7965 ですが、第一報は 2024/08/26 の「Google Chrome ゼロデイ脆弱性 CVE-2024-7965 が FIX:悪用が確認されている」となっています。なお、この記事の原文では「Google Chromium V8 における不適切な実装の脆弱性 CVE-2024-38856 (CVSS:8.8)」と表記されていましたが、明らかに間違いなので修正しています。
IoT OT Security News 
You must be logged in to post a comment.