Google、1週間で3つ目のChromeゼロデイ脆弱性を修正

Googleは月曜日に、実際に悪用されている新しいゼロデイを修正するためにChromeブラウザの緊急セキュリティアップデートをリリースしました。

これは、1週間以内に修正された悪用されたChromeゼロデイの欠陥の3つ目であり、今年Chromeユーザーを標的とした7つ目のゼロデイ攻撃です。

この脆弱性は、CVE識別子「CVE-2024-4947」が割り当てられ、Google ChromeのV8 JavaScriptおよびWebAssemblyエンジンの型混乱に影響を与え、ウェブアプリやウェブサイトを実行するための重要なコンポーネントです。

この高危険度のゼロデイ脆弱性は特に危険です。

リモート攻撃者が作成されたHTMLページを介してサンドボックス内で任意のコードを実行できるため、機密データが危険にさらされ、標的デバイスを制御される可能性があります。

この欠陥は、カスペルスキーの研究者であるヴァシリー・ベルドニコフとボリス・ラリンによって特定され、2024年5月13日にGoogleに報告されました。

「Googleは、CVE-2024-4947の悪用が実際に存在することを認識しています」と、検索大手は水曜日に公開したセキュリティアドバイザリーで述べました。

同社は、Chrome 125.0.6422.60（Linux）および125.0.6422.60/.61（Windows、Mac）のリリースにより、ゼロデイの欠陥に迅速に対処しました。これにより、ブラウザにいくつかの修正と改善がもたらされます。

新しいバージョンは、今後数日および数週間の間に安定したチャネルのアップデートの一部としてすべてのユーザーに展開される予定です。

GoogleはCVE-2024-4947の欠陥が実際に悪用されたことを確認していますが、同社は他のサイバー犯罪者によるさらなる悪用を避けるために、これらの攻撃に関する追加情報を提供していません。

「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正を受け取るまで制限される場合があります。また、他のプロジェクトが依存しているがまだ修正されていないサードパーティライブラリにバグが存在する場合も制限を維持します」とGoogleは述べました。

Chromeはセキュリティパッチが利用可能になると自動的に更新されますが、ユーザーは潜在的なサイバー攻撃から自分自身を守るために、Linux用のChromeバージョン125.0.6422.60およびWindowsおよびmacOS用のバージョン125.0.6422.60/.61に手動でアップグレードすることを推奨します。