Googleは10月29日(現地時間)、Webブラウザ「Chrome」の最新版として、WindowsおよびMac向けにバージョン130.0.6723.91/.92を、Linux向けにバージョン130.0.6723.91をリリースした。このアップデートには緊急性の高い2件の脆弱性の修正が含まれており、早急にアップデートすることが推奨されている。
アップデートの詳細は次のページにまとめられている。
-
Chrome Releases: Stable Channel Update for Desktop
任意のコード実行やシステムクラッシュの危険性
このアップデートで修正された2件の脆弱性は次のとおり。
- CVE-2024-10487: Dawnにおける境界外書き込みの脆弱性
- CVE-2024-10488: WebRTCにおける解放後のメモリ使用(Use After Free)の脆弱性
DawnはWebGPU APIをネイティブのグラフィックスAPIに変換する機能を提供するモジュールである。CVE-2024-10487を悪用すると、攻撃者は割り当てられたメモリを超えてデータを書き込むことができ、任意のコードの実行やシステムクラッシュにつながる可能性がある。この脆弱性を報告したApple Security Engineering and Architecture(SEAR)によると、この脆弱性が悪用された場合、被害者は悪意のあるWebサイトや広告にアクセスするだけでデバイスを侵害される可能性があるという。
もう一つの脆弱性CVE-2024-10488はWebRTCの実装に発見されたもので、悪用されると攻撃者によって任意のコードが実行されたり、アプリケーションをクラッシュさせられたりする可能性があるという。
いずれの脆弱性も悪用される危険性が高いため、Googleではできるだけ早くアップデートを適用することを推奨している。
「シングルマルチモニター」でプログラマーやデザイナーも作業効率倍増!5Kウルトラワイドモニターの活用術
