Chromeの新しいゼロデイ脆弱性、すでに悪用されている可能性あり。今すぐアップデートを
Google Chromeや、Chromeベースのウェブブラウザを使っている人は、今すぐアップデートが必要。
Google Chromeの最新版128.0.6613.84/.85(Windows/Mac)と128.0.6613.84(Linux)には、38のセキュリティ脆弱性の修正があり、そのうちの8つはGoogleが深刻度を「高い」と認めているものです。
「CVE-2024-7971」というゼロデイ脆弱性は、ChromeのV8 JavaScriptエンジンの型の取り違えの欠陥です。
Google Chromeや、Chromeベースのウェブブラウザを使っている人は、今すぐアップデートが必要。
Google Chromeの最新版128.0.6613.84/.85(Windows/Mac)と128.0.6613.84(Linux)には、38のセキュリティ脆弱性の修正があり、そのうちの8つはGoogleが深刻度を「高い」と認めているものです。
Googleは、「Chrome Releases」の最新のブログ記事でこのすべての修正について、各脆弱性の種類、深刻度、報奨金(脆弱性を発見した研究者に対する報奨金)、その欠陥を報告した人などを記載しています。
脆弱性はすべて修正しなければなりませんが、なかにはとりわけ重要なものがあります。
「CVE-2024-7971」というゼロデイ脆弱性は、ChromeのV8 JavaScriptエンジンの型の取り違えの欠陥です。
型の取り違えは、プログラムがオブジェクトの型を最初に確認せずに処理する時に起こります。その型が互換性がなかったり、間違っていたりすると、悪意ある人間が悪用できる脆弱性が生じる可能性があります。
Googleは前述のブログ記事で、この脆弱性「CVE-2024-7971」が悪用されているのを確認しています。
どこかの誰かが、この脆弱性を悪用する方法がわかっているということです。
さらに悪いことに、この脆弱性はハッカーがユーザーのブラウザに直接アクセスする必要がなく、ハッカーはリモートで悪用できるのです。
ハッカーがこの脆弱性のことを知っていて、なおかつあなたのChromeブラウザに目をつけている可能性は低いかもしれませんが、可能性はゼロではありません。安全第一です。
「The Hacker News」によると、これは今年Googleが対処した9番目のゼロデイ脆弱性で、V8 JavaScriptエンジンの型の取り違えを起こす3番目の問題です。
興味深いことに、このバグを報告したのは「Microsoft Security Response Center」で、それによって11,000ドルの報奨金を得ています。
それ以外の37の脆弱性はゼロデイではなく、現時点では悪用されたかわかりませんが、それでもすぐにパッチを当てるのが重要です。
このような欠陥が公開された今、悪意ある人間がこれらを悪用する方法を見つけ出すのは時間の問題です。
まだブラウザをアップデートしていない場合、悪用されるおそれのある可能性にさらされているということです。
