Google、Chromeの攻撃で悪用されたゼロデイ修正 今年9件目(CVE-2024-7971) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Google、Chromeの攻撃で悪用されたゼロデイ修正 今年9件目(CVE-2024-7971)

Threat Report

Chrome

GitHub

GitHub Enterprise Server

Google、Chromeの攻撃で悪用されたゼロデイ修正 今年9件目(CVE-2024-7971)

Yoshida

Yoshida

2024.08.22

8月22日:サイバーセキュリティ関連ニュース

Google、Chromeの攻撃で悪用されたゼロデイ脆弱性を修正 今年9件目(CVE-2024-7971)

BleepingComputer – August 21, 2024

Googleは21日、Chromeの緊急セキュリティアップデートをリリース。攻撃で悪用されているものとしてタグ付けされたゼロデイ脆弱性を修正した。同社が今年対処したゼロデイ脆弱性としては9件目となる。

この脆弱性CVE-2024-7971は型の取り違えの脆弱性で、JavaScriptエンジン「Chrome V8」に存在する。このような欠陥は、メモリに割り当てられたデータが異なる型として解釈されてしまい、攻撃者がブラウザのクラッシュを引き起こせるようになるというのが一般的だが、パッチ未適用のブラウザを実行している標的のデバイス上でこれを悪用して、任意のコードを実行することもできる。

修正版はWindowsとmacOS向けに128.0.6613.84/.85、Linux向けには128.0.6613.84がリリースされている。これらのバージョンは今後数週間かけてデスクトップ向けの安定チャネルで全ユーザーに提供される予定。

Googleはこの脆弱性が攻撃で使用されたことを確認したとはいえ、その悪用行為に関する追加情報をまだ共有していない。ほとんどのユーザーが修正プログラムを適用するまで、同脆弱性の詳細やリンクへのアクセスは制限される模様。

GitHub Enterprise Serverに認証関連の重大な欠陥(CVE-2024-6800)

SecurityWeek – August 21, 2024

GitHubは、GitHub Enterprise Serverにおけるセキュリティ上の欠陥3件に対する緊急アップデートをリリース。うち1件(CVE-2024-6800)については、ハッカーに悪用された場合、サイトの管理者権限を取得される可能性があることを警告した。

CVE-2024-6800(CVSSスコア:9.5/10)は、特定のIDプロバイダーでSAML認証を利用する際のXML署名ラッピングのバグと説明されているもので、今回修正された脆弱性のうち最も深刻な脆弱性。GitHub Enterprise Serverにネットワークで直接アクセスできる攻撃者がこれを悪用すると、SAML応答を偽造してサイトの管理者権限を持つユーザーを作成したり、そのユーザーとしてアクセスしたりすることが可能になる。これにより、事前の認証を必要とせずに標的インスタンスへの不正アクセスができるようになるという。

この欠陥はGitHub Enterprise Serverの3.14より前のすべてのバージョンに影響するが、バージョン3.13.3、3.12.8、3.11.14、3.10.16で修正されている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ