Googleは米国時間5月9日、ウェブブラウザー「Chrome」の重要なセキュリティアップデートをリリースした。ゼロデイ脆弱性「CVE-2024-4671」は、Chromeの「Visuals」コンポーネントに存在する「解放後使用(UAF: use-after-free)」の脆弱性だ。
「ChromeのVisualsコンポーネントとは?」と疑問に思うかもしれないが、簡単に言えば、Chromeでコンテンツのレンダリングや表示を担当するコンポーネントだ。誰もがブラウザーでコンテンツを開くのだから、すべてのユーザーがこの脆弱性の影響を受ける。
具体的に説明すると、攻撃者はこの脆弱性を悪用して領域外(OOB)メモリーアクセスができる。もっと分かりやすく言えば、悪意あるウェブページが含まれたウェブサイトにアクセスすると、コンピューターがまともに機能しなくなる、ということだ。マシンに搭載されているOSが「Linux」「macOS」「Windows」のどれであろうと関係ない。この脆弱性はどのOSにとっても等しくトラブルメーカーだ。
匿名の研究者が発見してGoogleに直接報告されたCVE-2024-4671は、共通脆弱性評価システム(CVSS)のスコアが8.8で、重大な脆弱性だ。
もっと悪質な脆弱性(CVSSの評価が9.0を超えると深刻度が「緊急」とされ、早急な修正が必要だ)にもなり得たが、今のままでも十分に悪質だ。攻撃者はこの脆弱性を突いて、コンピューターのデータを読み取ったり、クラッシュさせたり、場合によってはPCを乗っ取ったりすることもできる。要するに厄介な問題だ。
CVE-2024-4671の嫌なところは、すでに悪用されている点だ。セキュリティアドバイザリには、CVE-2024-4671のエクスプロイトが存在することをGoogleは認識していると書かれている。
確実に身を守るために、「設定」>「Chromeについて」と進んで、Chromeが最新バージョンであることを確認しよう。保護されている最新バージョンはMac版およびWindows版が「124.0.6367.201/.202」、Linux版が「124.0.6367.201」だ。「Extended Stable」チャンネルのユーザーには数日中にMac版およびWindows版の124.0.6367.201がリリースされる。
のんびりしている場合ではない。安全でいるために、Chromeをすぐにアップデートしよう。
提供:Jack Wallen/ZDNET
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
