Google Chromeチームは4月2日(米国時間)、「Chrome Releases: Stable Channel Update for Desktop」において、Google Chrome安定版のセキュリティアップデートを公開した。このアップデートには3件の脆弱性の修正が含まれている。
脆弱性を修正したバージョン
セキュリティアップデート後のバージョンは次のとおり。これらアップデートは今後数日または数週間かけて展開される予定。
- 安定版 (Windows, Mac) -123.0.6312.105/.106/.107
- 安定版 (Linux) - 123.0.6312.105
脆弱性の概要
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-3156:JavaScriptエンジンV8に不適切な実装
- CVE-2024-3158 :ブックマークに解放後使用(UAF: use-after-free)の脆弱性
- CVE-2024-3159:JavaScriptエンジンV8に境界外メモリアクセスの脆弱性
これら脆弱性のうち「CVE-2024-3159」に関して、Bleeping Computerは追加情報を伝えている。これによると、この脆弱性を悪用する攻撃者は、細工したHTMLページによりヒープメモリ破壊を介してメモリバッファを超えた領域データにアクセスできるという。その結果、機密情報の窃取、デバイスのクラッシュなどを実行する可能性がある。
Googleはこれら脆弱性の深刻度を高(High)と評価しており注意が必要。Google Chromeを利用しているユーザーは、速やかにアップデートすることが望まれている。なお、Googleは脆弱性の修正が広く行き渡るまでは脆弱性の詳細を伏せる方針を取っており、今回の脆弱性に関しても執筆時点において一部の情報を公開していない。