Google Chrome Addresses High-Severity Flaw in V8 JavaScript Engine (CVE-2024-12053)
2024/12/03 SecurityOnline — Google がリリースしたのは、V8 JavaScript エンジンに存在する、深刻なタイプ・コンフュージョンの脆弱性 CVE-2024-12053 を緩和する、Chrome ブラウザ向けのセキュリティ・アップデートである。この脆弱性の悪用に成功した攻撃者は、ユーザーのシステム上で任意のコードを実行し、セキュリティおよびプライバシーを侵害する可能性を得る。
タイプ・コンフュージョンの脆弱性とは、プログラムが処理するデータの型が、誤って解釈される場合に発生するものだ。その結果として、予期しないプログラムの動作が引き起こされる可能性がある。今回の脆弱性のケースでは、Chrome のサンドボックス環境を回避する攻撃者が、基盤となるオペレーティング・システムへの不正アクセスを可能にする恐れがある。
この脆弱性は、2024年11月14日に、セキュリティ研究者 gal1ium と chluo により特定されたmのだ。Google は迅速に対応し、最新の Stable チャネル・アップデートにおいて、 Windows/Mac バージョン 131.0.6778.108/.109 および、Linux バージョン 131.0.6778.108 でパッチをリリースしている。このアップデートは、今後の数日から数週間にわたり、徐々にユーザーに展開されるという。
また、CVE-2024-12053 への対応に加え、このアップデートには、他の3件のセキュリティ修正も組み込まれている。
手動で対応するユーザーは、Chrome ブラウザの設定メニュー内にある「Google Chrome について」のセクションに移動することで、Chrome による自動的な最新アップデートのチェックが行われ、インストールが可能になる。
Google Chrome の脆弱性 CVE-2024-12053 が FIX しました。日本時間で12月6日の午前中に、手元の MaC にもアップデートが届きました。Chrome の状況を見ていると、脆弱性というものは、無くならないものなのだと感じてしまいます。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.