2024 年 8 月 22 日
Google の Chrome ブラウザに存在する重大度の高い欠陥は、活発に悪用されており、同社が最近リリースしたセキュリティ アップデートによって修正されました。この脆弱性 CVE-2024-7971 は、V8 JavaScript および WebAssembly エンジンの型の混乱の問題であることが判明しました。
米国立標準技術研究所 (NIST) の国家脆弱性データベース (NVD) 報告 では、バージョン 128.0.6613.84 より前の V8 でタイプの混乱が発生していると報告されています。 Google Chrome の場合、リモート攻撃者が特別に作成した HTML ページを通じてヒープ破損を悪用する可能性があります。
2024 年 8 月 19 日に、この欠陥は Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) によって発見され、報告されました。ただし、この欠陥を悪用した攻撃の具体的な詳細や攻撃者の身元はまだ明らかにされていません。 Google は、ほとんどのユーザーがブラウザをこの修正プログラムで更新していることを確認することを優先しています。
Google は、CVE-2024-7971 のエクスプロイトの認識を短い声明で認めしています。現在野生で活動中。これは、Google が今年対処した V8 の型混乱の脆弱性の 3 例目であり、以前の脆弱性は CVE-2024-4947 と CVE-2024-5274 でした。
Google は、2024 年の初め以来、Chrome に合計 9 件のゼロデイ脆弱性があることを認めており、その中には Pwn2Own 2024 で実証された 3 件が含まれます。
- CVE-2024-0519: V8 での境界外のメモリ アクセス
- CVE-2024-2886: WebCodecs での解放後の使用 (Pwn2Own 2024 でデモ)
- CVE-2024-2887: WebAssembly での型の混乱 (Pwn2Own 2024 で実証)
- CVE-2024-3159: V8 での境界外メモリ アクセス (Pwn2Own 2024 で実証)
- CVE-2024-4671: ビジュアルでの解放後の使用
- CVE-2024-4761: V8 での範囲外書き込み
- CVE-2024-4947: V8 での型の混乱
- CVE-2024-5274: V8 での型の混乱
潜在的なリスクを軽減するために、ユーザーは Chrome ブラウザを Windows および macOS の場合はバージョン 128.0.6613.84/.85 に、Linux の場合はバージョン 128.0.6613.84 に更新することをお勧めします。これは、Microsoft Edge、Brave、Opera、Vivaldi などの Chromium ベースのブラウザーを使用しているユーザーにも適用され、更新プログラムが利用可能になり次第、すぐに適用する必要があります。