Google、Pwn2Ownで破られたChromeのゼロデイをもう1つ修正: CVE-2024-3159 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Google、Pwn2Ownで破られたChromeのゼロデイをもう1つ修正: CVE-2024-3159

Threat Report

Silobreaker-CyberAlert

Google、Pwn2Ownで破られたChromeのゼロデイをもう1つ修正: CVE-2024-3159

佐々山 Tacos

佐々山 Tacos

2024.04.04

4月4日:サイバーセキュリティ関連ニュース

Google、3月のPwn2Ownで破られたChromeのゼロデイ脆弱性をもう1つ修正(CVE-2024-3159)

Security Affairs – April 03, 2024

GoogleがChromeブラウザのゼロデイ脆弱性CVE-2024-3159を修正した。

この脆弱性は2024年3月開催のハッキングコンテスト「Pwn2Own 2024」で破られた欠陥の1つで、JavaScriptエンジン「V8」における境界外メモリアクセスの脆弱性。リモートの攻撃者は、特別に細工されたHTMLページに被害者を誘導することにより同脆弱性を悪用でき、これが成功するとメモリバッファを上回るデータにアクセスしてヒープ破壊を引き起こすことができる。このため、悪用されると機微情報の漏洩やクラッシュにつながる可能性がある。

Googleの担当チームは「Stableチャネルは、WindowsおよびMacでは123.0.6312.105/.106/.107に、Linuxでは123.0.6312.105にアップデートされ、今後数日/数週間でロールアウトされる」と発表した。Chromeの深刻な脆弱性は3月末にも複数修正されており、その中に含まれたCVE-2024-2886とCVE-2024-2887も同じPwn2Ownで悪用できることが実証されている。

相次ぐ政府機関のデータ侵害を受け、Ivantiがセキュリティ対策の徹底的な見直しを約束

The Record – April 4th, 2024

Ivantiは自社製品の脆弱性がデータ侵害の原因になっていると複数の政府機関に指摘されたことを受け、サイバーセキュリティに対する取り組みを大幅に変更すると発表した。

同社CEOのJeff Abbott氏は、顧客に宛てた公開書簡と6分間の動画を公表。自社製品の構成および脆弱性に関する情報伝達の方法を全面的に見直すと約束した。今後は「コアエンジニアリング、セキュリティ、脆弱性に関するマネジメントの手順」を変更するとともに、Ivanti製品を安全に導入できるようリソースを用意し、自らの取り組みを指導する「顧客諮問委員会」も設置するという。

今回の発表に合わせ、Ivantiは新たに4件の脆弱性に対するパッチをリリースしたが、これらが悪用されたケースは報告されていないようだ。ここ数か月間、Ivanti製品の脆弱性を突かれる事例が相次いでおり、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)やノルウェーの政府機関などがハッカーの侵入を許している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ