Google は、Chrome の緊急セキュリティ アップデートを発行しました。 1 週間以内に 3 番目のゼロデイ脆弱性が攻撃に悪用されました。によると、同社は、CVE-2024-4947 に対するエクスプロイトが実際に存在することを認めています。セキュリティ勧告。この欠陥は、Mac/Windows 用のバージョン 125.0.6422.60/.61 と Linux 用の 125.0.6422.60 で修正されています。これらのアップデートは、今後数週間にわたって Stable Desktop チャネルのすべてのユーザーに展開されます。
これは、ここ数日で Google から提供された 2 回目のセキュリティ パッチです。同社は今週初め、不正なデータアクセスにつながる可能性があるChromeの欠陥に対する修正版を公開した。このアップデートは、攻撃に積極的に悪用されている CVE-2024-4761 として特定される重大度の高いゼロデイ脆弱性に対処するものでした。
自動および手動アップデート
新しいセキュリティ パッチが利用可能になると、Chrome は自動的に更新されます。ただし、ユーザーは [Chrome] メニュー > [ヘルプ] > [Google Chrome について] に移動して、最新バージョンを実行していることを手動で確認できます。アップデートが完了したら、「再起動」ボタンをクリックしてインストールする必要があります。 BleepingComputerチェックするとアップデートがすぐに利用可能になったことを確認しました。
脆弱性の詳細
CVE-2024-4947 として特定される重大度の高いゼロデイ脆弱性は、次のタイプ混同の弱点によって引き起こされます。 Chrome V8 JavaScript エンジン。この欠陥は、Kaspersky 研究者の Vasily Berdnikov と Boris Larin によって報告されました。通常、このような脆弱性により、攻撃者はバッファ境界外でメモリの読み取りまたは書き込みを行うことでブラウザのクラッシュを引き起こすことが可能になります。ただし、標的のデバイス上で任意のコードを実行するために悪用される可能性もあります。
Google は、このバグが攻撃に使用されたことを確認していますが、これらのインシデントに関する詳細情報はまだ提供していません。同社は、ほとんどのユーザーが修正プログラムを受け取るまで、バグの詳細とリンクへのアクセスが制限されたままになる可能性があると述べています。他のプロジェクトが依存しているサードパーティ ライブラリにバグが存在し、まだ修正されていない場合も、制限は維持されます。
2024 年に 7 つのゼロデイ パッチが適用される
この最新の脆弱性は、今年に入ってから Chrome でパッチが適用された 7 番目のゼロデイ脆弱性です。 2024 年に対処されるゼロデイのリストには次のものが含まれます。
CVE-2024-0519: Chrome V8 JavaScript エンジンにおける重大度の高い境界外メモリ アクセスの問題により、リモート攻撃者が特別に細工された HTML ページを介してヒープ破損を悪用し、機密情報への不正アクセスにつながる可能性があります。 CVE-2024-2887: WebAssembly の重大度の高い型混乱の欠陥 (Wasm) ) 標準であり、細工された HTML ページを介したリモート コード実行 (RCE) エクスプロイトにつながる可能性があります。 CVE-2024-2886: Web における use-after-free の脆弱性
