Google Chrome Patches Two High-Severity Vulnerabilities: Update Now!
2024/11/05 securityonline — Google がリリースした Chrome のアップデートは、脆弱性 CVE-2024-10826/CVE-2024-10827 を修正するものであり、それらは攻撃者に悪用される可能性があるという。ユーザーに対して強く推奨されるのは、Windows/Mac バージョンの 130.0.6723.116/117、および、Linux バージョンの 130.0.6723.116 へと、ただちにアップデートすることである。
これらの脆弱性は、いずれも use-after-free の欠陥として分類されている。この種の脆弱性は、解放されたメモリ領域をプログラムが継続して使用した場合に発生し、任意のコード実行や、ブラウザのクラッシュなどが、攻撃者により引き起こされる可能性がある。
- CVE-2024-10826:Chrome の Family Experiences コンポーネントに存在する、この脆弱性の詳細は、現時点では、さらなる悪用を防ぐために明らかにされていない。しかし、この機能はペアレンタル・コントロールやアカウント共有に関連しているため、それらの機能を利用するユーザーにとっては、潜在的なリスクが生じていることが示唆される。
- CVE-2024-10827:おそらく通信ポートとデータ転送を扱っている、Serial コンポーネントに存在する脆弱性である。この脆弱性の悪用に成功した攻撃者は、ブラウザを介して送信されるデータを傍受/操作する可能性を手にする。
これらの深刻な脆弱性が、匿名の研究者により報告された後に、Google は速やかに欠陥を修正した。
ユーザーがすべきこと
潜在的な攻撃から身を守るためには、以下の手順に従い、Chrome を更新することが重要である:
- ブラウザの再起動:更新が確実に反映されるように、Chromeを再起動する。
- Chrome バージョンの確認:アドレスバーで
"chrome://settings/help” にアクセスする。 - Chrome の更新:最新バージョンである 130.0.6723.116/.117 が表示されない場合には、Chrome にアップデートをダウンロードしてインストールする。
今回の Chrome の脆弱性は、いずれも use-after-free とのことです。2024/09/25 に「Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少」という記事をポストしていますが、おそらく Chrome でも、Rust への移行があるのだろうと期待しています。よろしければ Security by Design で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.