セキュリティ

SECURITY

公開：2024-05-14

ChromeのStable Channelが124.0.6367.207/.208に更新、V8エンジンのゼロデイ脆弱性CVE-2024-4761を修正

text: XEXEQ編集部

Chrome Stable Channel 124.0.6367.207/.208に関する記事の要約

• Chrome Stable Channel 124.0.6367.207/.208にアップデート、数日から数週間かけて展開予定
• V8におけるOut of bounds writeの脆弱性CVE-2024-4761を修正、悪用の可能性あり
• リリースチャネルの切り替え方法やバグ報告先などの案内

Chrome Stable Channel 124.0.6367.207/.208のリリースによりメモリ関連の深刻な脆弱性に対処

Google ChromeのStable Channelが2024年5月13日付けで124.0.6367.207/.208にアップデートされた。Mac、Windows、Linux向けの更新が段階的に展開される予定で、今回のリリースではセキュリティ修正が1件含まれている。^[1]

最も注目すべきは、V8におけるOut of bounds writeの脆弱性である。CVE-2024-4761と識別されたこの問題は、ChromeのJavaScriptエンジンであるV8のメモリ処理に起因する。細工を施したWebページを開くことで、リモートの攻撃者に任意のコード実行を許してしまう可能性があるようだ。

GoogleはCVE-2024-4761についてゼロデイ攻撃が確認されたと述べており、該当する脆弱性情報は修正版の展開が進むまでアクセス制限されるとのことだ。また、他のプロジェクトでも使われているサードパーティライブラリに起因する問題の場合、制限が継続される場合もあるとのこと。

考察

今回のChromeアップデートで修正されたV8のメモリ関連脆弱性は、クロスプラットフォームでの攻撃に悪用される恐れがあり、非常に危険度が高いと言える。リモートからのコード実行を許す欠陥は、攻撃者に大きな自由度を与えてしまう。感染したWebページを閲覧するだけでPCを乗っ取られ機密情報を盗まれるリスクがあるため、すみやかな対策が欠かせない。

Chromeの自動更新機能を有効にしていれば、ユーザーが特に操作をしなくてもセキュリティパッチが適用される。だが、社内のセキュリティポリシーなどの都合で自動更新を制限しているケースも少なくない。そういった環境では、今すぐにでも手動での更新作業を行うべきだろう。また、V8はElectronなど他のソフトウェアでも使われているため、Chromeブラウザ以外の製品への影響にも目を光らせる必要がある。

参考サイト

1. ^ Google Chrome Releases. 「Chrome Releases: Stable Channel Update for Desktop」. https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html, (参照 24-05-28).
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧