セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-12382】Google Chromeに深刻な脆弱性、Translate機能のメモリ破壊の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google ChromeのTranslate機能で深刻な脆弱性が発見
• バージョン131.0.6778.139より前のバージョンに影響
• Use after free型の脆弱性でCVSS評価は8.8のHigh

Google Chrome 131.0.6778.139未満に深刻な脆弱性

Googleは、Chrome browserのTranslate機能において、Use after free型の深刻な脆弱性【CVE-2024-12382】を確認したことを2024年12月11日に発表した。巧妙に細工されたHTMLページを通じて、攻撃者がヒープメモリの破壊を引き起こす可能性があることが判明している。^[1]

この脆弱性はバージョン131.0.6778.139より前のGoogle Chromeに影響を与えるもので、CISAによる評価では攻撃の自動化が可能とされている。NVDのCVSS評価では、ネットワーク経由での攻撃が可能で攻撃条件の複雑さは低く、特権は不要だが利用者の操作を必要とする脆弱性とされた。

セキュリティ評価機関により、この脆弱性の深刻度は「High」と評価され、CVSS v3.1でのスコアは8.8を記録している。攻撃が成功した場合、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性があることが指摘されている。

Google Chrome脆弱性の影響範囲

Use after freeについて

Use after freeとは、メモリ上で既に解放された領域に対してプログラムがアクセスを試みる際に発生する脆弱性の一種である。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによるプログラムの異常動作
• メモリの二重解放による予期せぬシステム動作の誘発
• 悪意のある攻撃者による任意のコード実行の可能性

CWE-416として分類されるこの脆弱性は、プログラムがメモリを解放した後もそのポインタを保持し続け、その後そのポインタを使用することで発生する。攻撃者はこの状態を悪用し、解放されたメモリ領域に悪意のあるコードを配置することで、システムのセキュリティを危殆化させる可能性がある。

Google Chromeの脆弱性対策に関する考察

今回の脆弱性は、Webブラウザの基本機能であるTranslate機能に関連しているため、多くのユーザーに影響を与える可能性がある。特にグローバルなコンテンツを日常的に閲覧するユーザーにとって、Translate機能の利用を控えることは現実的ではないため、早急なアップデートの適用が望まれる。

Chrome browserの自動更新機能は効果的に機能しているが、企業環境では更新の適用に時間がかかることがある。組織的なパッチ管理体制の整備と、セキュリティアップデートの優先度付けの仕組みを確立することが重要だ。特に今回のような高いCVSSスコアを持つ脆弱性については、迅速な対応が求められるだろう。

長期的には、メモリ安全性を考慮したプログラミング言語の採用やサンドボックス化の強化など、根本的な対策の検討も必要となる。また、Translate機能のようなブラウザの基本機能においても、セキュリティとユーザビリティのバランスを考慮した設計が重要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-12382 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12382, (参照 24-12-17).
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧