Last Updated on 2024-06-27 09:36 by 門倉 朋宏
Googleは、Chromeブラウザの緊急セキュリティアップデートをリリースし、野外でのエクスプロイトコードが公開されたゼロデイ脆弱性CVE-2024-4761に対するパッチを含んでいる。この脆弱性は、GoogleのオープンソースV8 JavaScriptおよびWebAssemblyエンジンにおける高重大度の範囲外書き込みであり、リモートの攻撃者がレンダラープロセスを侵害し、特別に作成されたHTMLページを介してサンドボックス脱出を実行する可能性がある。これは、ブラウザタブを超えて他のWebアプリケーションやネットワークに移動することを意味する。
この脆弱性のエクスプロイトは、メモリの一部を操作してより重要な機能に割り当てられた部分にコードを書き込み、プログラムやユーザーが持つべきでない権限で実行されることを可能にする。Googleはエクスプロイトコードの存在を認めたが、積極的な悪用が行われているとは述べていない。
また、Googleは4日前にCVE-2024-4671、Google ChromeのVisualsにおける使用後解放(UAF)の脆弱性に対するパッチをリリースした。この脆弱性も野外で悪用されていた。CVE-2024-4761と同様に、リモートの攻撃者がレンダラープロセスを侵害し、特別に作成されたHTMLページを介してサンドボックス脱出を実行する可能性がある。
2024年に入ってから、これら2つの脆弱性を含む6つのゼロデイ脆弱性がGoogleによって修正された。2023年全体で、Googleの一部であるMandiantは、パッチが適用される前に脅威アクターによって野外で使用されていたChromeのゼロデイ脆弱性を8つ追跡しており、年々ゼロデイの悪用が増加していることを示している。
【ニュース解説】
Googleは最近、Chromeブラウザに対する緊急セキュリティアップデートをリリースしました。このアップデートには、特に注目すべきゼロデイ脆弱性CVE-2024-4761に対するパッチが含まれています。この脆弱性は、GoogleのオープンソースV8 JavaScriptおよびWebAssemblyエンジンにおける高重大度の範囲外書き込み問題であり、リモートの攻撃者がレンダラープロセスを侵害し、特別に作成されたHTMLページを介してサンドボックス脱出を実行する可能性があるとされています。サンドボックス脱出とは、ブラウザタブを超えて他のWebアプリケーションやネットワークに移動することを意味します。
この脆弱性を悪用することで、攻撃者はメモリの一部を操作し、本来プログラムやユーザーが持つべきでない権限でコードを実行することが可能になります。Googleはエクスプロイトコードの存在を認めていますが、積極的な悪用が行われているかどうかについては明言を避けています。
この脆弱性の発見は、2024年に入ってからGoogleが修正した6つ目のゼロデイ脆弱性であり、2023年全体で追跡された8つのゼロデイ脆弱性と比較して、ゼロデイ脆弱性の悪用が増加していることを示しています。これらの脆弱性の多くは、データ盗難やサイバー間諜活動を目的とした国家支援の攻撃者によって悪用されています。
このような脆弱性の存在と悪用は、個人ユーザーだけでなく、企業や組織にとっても重大なセキュリティリスクをもたらします。攻撃者がこれらの脆弱性を利用してシステムに侵入することで、機密情報の盗難、マルウェアの植え付け、さらにはネットワーク全体への拡散など、深刻な被害を引き起こす可能性があります。
この問題に対処するためには、ユーザーはChromeブラウザを最新の状態に保つことが重要です。Chromeは自動的にアップデートを行いますが、ブラウザを閉じない限りアップデートが適用されないため、定期的にブラウザを再起動するか、手動でアップデートを確認することが推奨されます。
また、企業や組織では、セキュリティチームがすべてのChromeインストールを直ちに更新し、ブラウザの隔離やサンドボックス化などの追加のセキュリティ対策を実施することが求められます。これらの対策により、脆弱性が悪用された場合の被害を最小限に抑えることができます。
最後に、このようなゼロデイ脆弱性の発見と修正は、サイバーセキュリティの世界における絶え間ない戦いを象徴しています。技術の進化とともに新たな脆弱性が発見されるため、ユーザー、開発者、セキュリティ専門家は常に警戒を怠らず、最新のセキュリティ情報に注意を払い、迅速に対応する必要があります。
from Dangerous Google Chrome Zero-Day Allows Sandbox Escape.
