Google は、攻撃に積極的に悪用されている CVE-2024-4761 として識別される重大度の高いゼロデイ脆弱性に対処するために、Chrome ブラウザの緊急セキュリティ アップデートをリリースしました。このアップデートは、3 日前にパッチが適用され、Visuals コンポーネントの解放後の使用問題に関連する別のゼロデイ欠陥 CVE-2024-4671 の直後に続きます。
JavaScript エンジンの脆弱性
新たに特定されたバグ、CVE-2024-4761 は、ブラウザ内で JavaScript コードを実行する役割を担う Chrome の V8 JavaScript エンジンに影響を与える範囲外書き込みの問題です。境界外書き込みエラーは、プログラムが割り当てられたメモリ バッファーの外にデータを書き込むときに発生し、不正なデータ アクセス、任意のコードの実行、またはシステムのクラッシュにつながる可能性があります。 Google は、この脆弱性に対するエクスプロイトが実際に存在することを確認しました。
アップデートの詳細とユーザー手順
このセキュリティ上の欠陥はリリースで解決されました。 Mac および Windows の場合は Chrome バージョン 124.0.6367.207/.208、Linux の場合は 124.0.6367.207。これらのアップデートは、今後数日または数週間かけてすべてのユーザーに展開されます。 「拡張安定版」チャネルを使用している場合、修正は Mac と Windows の両方のバージョン 124.0.6367.207 に含まれます。 Chrome は通常、新しいセキュリティ パッチが利用可能になると自動的に更新されますが、ユーザーは[設定] > [Chrome について] に移動し、更新を完了してから [<] をクリックすることで最新バージョンを実行していることを手動で確認できます。 [strong>再起動] ボタンを押して適用します。
2024 年のゼロデイ脆弱性の概要
この最新のセキュリティ問題は、Chrome で発見され対処される 6 番目のゼロデイ脆弱性を示します。 2024。この欠陥は、2024 年 5 月 9 日に匿名の研究者によって報告されました。Google は、大多数のユーザーがアップデートを受信するまで、バグに関する詳細情報と関連リンクは制限されたままになる可能性があると述べています。他のプロジェクトが依存しているがまだ修正されていないサードパーティ ライブラリに脆弱性が存在する場合にも、制限は継続します。
今年以前に修正された Chrome のゼロデイ脆弱性は次のとおりです。
CVE-2024-0519: 境界外のメモリ アクセスの問題V8 JavaScript エンジンでは、リモート攻撃者が特別に作成した HTML ページを通じてヒープ破損を悪用し、機密情報への不正アクセスにつながる可能性があります。 CVE-2024-2887: 重大度の高い欠陥により、攻撃者はメモリ破損の問題を悪用して任意のコードを実行します。
詳細については、Chrome セキュリティ ページをご覧ください。リリース チャネルの切り替えに興味がある場合は、Chromium Web サイトで詳細をご覧ください。新しい問題が発生した場合は、バグ レポートを提出するか、コミュニティ ヘルプ フォーラムを通じて支援を求めることができます。
