Google Chromeに機密情報の窃取につながる脆弱性、アップデートを
2024年4月5日(金)8時59分 マイナビニュース
Google Chromeチームは4月2日(米国時間)、「Chrome Releases: Stable Channel Update for Desktop」において、Google Chrome安定版のセキュリティアップデートを公開した。このアップデートには3件の脆弱性の修正が含まれている。
○脆弱性を修正したバージョン
セキュリティアップデート後のバージョンは次のとおり。これらアップデートは今後数日または数週間かけて展開される予定。
安定版 (Windows, Mac) -123.0.6312.105/.106/.107
安定版 (Linux) - 123.0.6312.105
○脆弱性の概要
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-3156:JavaScriptエンジンV8に不適切な実装
CVE-2024-3158 :ブックマークに解放後使用(UAF: use-after-free)の脆弱性
CVE-2024-3159:JavaScriptエンジンV8に境界外メモリアクセスの脆弱性
これら脆弱性のうち「CVE-2024-3159」に関して、Bleeping Computerは追加情報を伝えている。これによると、この脆弱性を悪用する攻撃者は、細工したHTMLページによりヒープメモリ破壊を介してメモリバッファを超えた領域データにアクセスできるという。その結果、機密情報の窃取、デバイスのクラッシュなどを実行する可能性がある。
Googleはこれら脆弱性の深刻度を高(High)と評価しており注意が必要。Google Chromeを利用しているユーザーは、速やかにアップデートすることが望まれている。なお、Googleは脆弱性の修正が広く行き渡るまでは脆弱性の詳細を伏せる方針を取っており、今回の脆弱性に関しても執筆時点において一部の情報を公開していない。
○脆弱性を修正したバージョン
セキュリティアップデート後のバージョンは次のとおり。これらアップデートは今後数日または数週間かけて展開される予定。
安定版 (Windows, Mac) -123.0.6312.105/.106/.107
安定版 (Linux) - 123.0.6312.105
○脆弱性の概要
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-3156:JavaScriptエンジンV8に不適切な実装
CVE-2024-3158 :ブックマークに解放後使用(UAF: use-after-free)の脆弱性
CVE-2024-3159:JavaScriptエンジンV8に境界外メモリアクセスの脆弱性
これら脆弱性のうち「CVE-2024-3159」に関して、Bleeping Computerは追加情報を伝えている。これによると、この脆弱性を悪用する攻撃者は、細工したHTMLページによりヒープメモリ破壊を介してメモリバッファを超えた領域データにアクセスできるという。その結果、機密情報の窃取、デバイスのクラッシュなどを実行する可能性がある。
Googleはこれら脆弱性の深刻度を高(High)と評価しており注意が必要。Google Chromeを利用しているユーザーは、速やかにアップデートすることが望まれている。なお、Googleは脆弱性の修正が広く行き渡るまでは脆弱性の詳細を伏せる方針を取っており、今回の脆弱性に関しても執筆時点において一部の情報を公開していない。
関連記事(外部サイト)
