New Chrome Security Patch Targets Critical CVE-2024-10487 & 10488 Flaws – Update Immediately
2024/10/29 SecurityOnline — Google がリリースした Chrome の緊急アップデートは、ユーザー・システムの制御が攻撃者に奪われる可能性のある、2つの深刻なセキュリティ脆弱性に対処するものである。これらの脆弱性 CVE-2024-10487/CVE-2024-10488 は、Windows/Mac/Linux の各プラットフォーム上の、Chrome に影響を与えるものだ。
脆弱性 CVE-2024-10487 (Critical) は、Dawn グラフィック・ライブラリにおける境界外書き込みに起因する。この脆弱性の悪用に成功した攻撃者は、ユーザーのデバイス上のメモリを破損させ、任意のコード実行に到達する可能性を手にする。この脆弱性は、10月23日の時点で Apple SEAR (Security Engineering and Architecture) により報告されたものであり、大手テクノロジー企業間における、サイバー・セキュリティに対する協調的な取り組みを浮き彫りにしている。
脆弱性 CVE-2024-10488 (High) は、Chrome のリアルタイム通信を担う技術である、WebRTC の解放後使用の欠陥である。この脆弱性の悪用に成功した攻撃者は、解放されたメモリ領域の悪用が可能となり、クラッシュを引き起こすが、より深刻なケースでは、任意のコード実行につながる可能性がある。この脆弱性は、10月18日にセキュリティ研究者の Cassidy Kim (@cassidy6564) により発見/報告されている。
Windows と Mac 用のバージョン 130.0.6723.91/.92、および、Linux 用のバージョン 130.0.6723.91 は、数日から数週間のうちにユーザーに配信される予定である。また、Extended Stable チャンネルも Windows/ Mac 用のバージョン 130.0.6723.92 に更新された。
すべてのユーザーに対して Google は、可能な限り早急に Chrome をアップデートし、これらのセキュリティ・リスクを軽減するよう呼びかけている。Chrome ユーザーに対して強く推奨されるのは、これらのセキュリティ・パッチを適用し、最新バージョンに更新することだ。更新するには、ブラウザの “ヘルプ” から “Google Chrome について” へ移動すれば、Chrome による自動的な最新アップデートのチェックが行われ、そのインストールが可能になる。
Chrome のアップデートがない週は、いったいどれくらいあるのだろうと思ってしまいますね。それほど、頻繁にバグが修正されていることになります。面倒がらずに、こまめに対応しましょう。前回の Chrome アップデートは、2024/10/23 の「Chrome 130 の3件の深刻な脆弱性が FIX:ただちにアップデートを!」となります。よろしければ、Chrome で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.