単にゼロデイ脆弱性に対処してから 3 日後でブラウザ, Google Chromeは、さらなるゼロデイエクスプロイトを修正するための緊急アップデートをリリースしました。
このエクスプロイトは CVE-2024-4761 と呼ばれ、2024 年に Google が対処する 6 番目のゼロデイ エクスプロイトです。
Google Chrome チームは多くの詳細を明らかにしていませんが、CVE-2024-4761 エクスプロイトは大きな影響を与えると考えられています。
「Google は、CVE-2024-4761 のエクスプロイトが実際に存在することを認識しています」とブログ投稿には追加されています。
被害は何ですか
この問題は、JS ベースのリクエストを処理する Chrome 上の V8 JavaScript エンジンに影響することが記載されています。
これは境界外の書き込みの問題であるため、攻撃者がこのエクスプロイトを使用して任意のコードを実行したり、プログラムをクラッシュさせたりして、データの損失や破損を引き起こす可能性があります。
この緊急アップデートにより、Mac および PC 用の Google Chrome のバージョンが 124.0.6367.207/.208 になりました。 Google によると、この人気の Web ブラウザのこのバージョンは今後数日または数週間以内に利用可能になる予定です。
Chrome リリースのブログ投稿では、Linux 用のバージョン 124.0.6367.207 も段階的にロールアウトされると述べています。
Extended Stable チャネルを使用しているデバイスは、Mac および Windows 用のバージョン 124.0.6367.207 を通じてアップデートを受け取ります。このバージョンは、今後数日または数週間以内に公開される予定です。
緊急アップデートなので、Mac および Windows 上で Google Chrome が自動的に更新されます。
ただし、ユーザーは [設定] > [Chrome について] に移動してアップデートを迅速に行うことができます。新しいバージョンは再起動後に有効になります。
逆に、CVE-2024-4761 は、Chrome セキュリティが今年目撃した危険な傾向を示しています。
初めてではない
すでに 5 件のゼロデイ エクスプロイトが発生しており、そのうち 2 件はすでに V8 JavaScript エンジンに影響を与えています。
さらに、これらのゼロデイエクスプロイト攻撃は、WebAssembly 標準、WebCodecs API、および Visual コンポーネントを標的としていました。
脅威の脆弱性の可能性を判断すると、Google Chrome は CVE-2024-4761 エクスプロイトに関する詳細をあまり明らかにしていません。
チームは、ほとんどのユーザーが緊急アップデートをインストールするまで、これらの制限を維持します。
また、サードパーティのライブラリにバグが存在するかどうかも探します。
