Chrome 129 Patches High-Severity Vulnerability in V8 Engine
2024/09/18 SecurityWeek — Google は 9月17日に Chrome 129 のアップデートを発表し、外部から報告された6件を含む、9件の脆弱性に対するパッチを適用した。外部から報告された脆弱性の中で最も深刻なものは、深刻度 High に分類されている、V8 JavaScript エンジンにおけるタイプ・コンフュージョン脆弱性 CVE-2024-8904 だ。
タイプ・コンフュージョンの脆弱性は、メモリ安全性バグの一種であり、変数を変更する攻撃者が、予期せぬアプリケーションの動作を引き起こせるものだ。この種の脆弱性が悪用されると、クラッシュ/リモート・コード実行などの攻撃につながる可能性がある。
さらに Chrome 129 では、外部の研究者から報告された、以下の5件の脆弱性も修正された。
深刻度 Medium
- CVE-2024-8905:V8 における不適切な実装
- CVE-2024-8906:ダウンロードにおける不正確なセキュリティ UI
- CVE-2024-8907:Omnibox における不十分なデータ検証
深刻度 Low
- CVE-2024-8908:Autofill への不適切な実装
- CVE-2024-8909:UI コンポーネントにおける不適切な実装
いつものように Google は、脆弱性の詳細へのアクセスを制限しており、少なくとも大半のユーザーが修正版の Chrome にアップデートするまでは、その状態が続く。
Google は、報告者たちにバグ報奨金として $13,000 を支払ったと発表している。最高額の報奨金は、V8 の不適切な実装の脆弱性 CVE-2024-8905 を報告した ChaMd5-H1 チームの Ganjiang Zhou に支払われた。
しかし、Google は、最も深刻度の高い V8 のセキュリティ脆弱性 CVE-2024-8904 に対するバグ報奨金の金額をまだ決定しておらず、総額が積み上げられる可能性もある。
最新の Chrome は、Windows/ macOS 向けバージョン 129.0.6668.58/.59 と、Linux 向けバージョン 129.0.6668.58 として展開中である。これらの脆弱性が実際に悪用されているという報告について、Google は受けていないとしている。
Chrome に関する前回のアップデートは、2024/09/03 の「Google Chrome 128 の緊急アップデート:CVE-2024-7969 など6つの脆弱性を FIX」でした。その後に、Chrome 129 への移行があり、そこで新たな脆弱性が発見されたという流れなのでしょう。Chrome ユーザーの方は、速やかにアップデートしてください。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.