Trusted Design

CVE-2018-17463 の詳細

CVEの情報

説明:
Incorrect side effect annotation in V8 in Google Chrome prior to 70.0.3538.64 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.

CVE更新日: 2018-11-14 15:29:00.297000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2022-06-08

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.921990000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2018-17463について、以下の観点で解説します。

1. 脆弱性の概要

Google ChromeのV8 JavaScriptエンジンにおいて、サイドエフェクトのアノテーションが不適切であったために発生する脆弱性です。細工されたHTMLページを介してリモートの攻撃者がサンドボックス内で任意のコードを実行できる可能性があります。

1.1 影響

  • リモートの攻撃者が細工されたHTMLページを介して、サンドボックス内で任意のコードを実行できる可能性があります。
  • これにより、情報の取得、改ざん、およびサービス運用妨害(DoS)状態に陥る可能性があります。

1.2 深刻度

  • CVSS v3 基本評価値: 8.8 (重要)
    • 攻撃元区分: ネットワーク (AV:N)
    • 攻撃条件の複雑さ: 低 (AC:L)
    • 攻撃に必要な特権レベル: 不要 (PR:N)
    • 利用者の関与: 要 (UI:R)
    • 影響の想定範囲: 変更なし (S:U)
    • 機密性への影響: 高 (C:H)
    • 完全性への影響: 高 (I:H)
    • 可用性への影響: 高 (A:H)
  • このCVEはCISAのKnown Exploited Vulnerabilitiesカタログに登録されており、実環境で悪用が確認されていることを示しています。
  • EPSS(Exploit Prediction Scoring System)スコアは92.199%(100パーセンタイル)であり、30日以内にこの脆弱性が悪用される確率が高いと推定されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

  • Google Chrome バージョン 70.0.3538.64 より前のバージョン。
  • Debian GNU/Linux (DSA-4330で対応)。
  • Red Hat Enterprise Linux Desktop, Server, Workstation (RHSA-2018:3004で対応)。
  • Gentoo (GLSA-201811-10で対応)。

2.2 影響を受ける設定

特定の「設定」が脆弱性に影響を与えるという直接的な情報は見つかりませんでした。脆弱性はGoogle ChromeのV8 JavaScriptエンジンの実装に存在するため、影響を受けるバージョンのGoogle Chromeを使用していること自体が影響を受ける設定となります。

3. 影響を受けた時の兆候

この脆弱性はサンドボックス内での任意のコード実行を可能にするため、攻撃が成功しても目に見える直接的な兆候は少ない可能性があります。通常、ユーザーが意識しないうちに情報が窃取されたり、システムが改ざんされたりする可能性があります。悪意のあるウェブページを閲覧した後に、異常な動作やパフォーマンスの低下が見られる可能性もありますが、これは一般的な兆候であり、特定の脆弱性に起因するものと断定することは困難です。

4. 推奨対策

4.1 本対策

  • Google Chromeをバージョン70.0.3538.64以降にアップデートしてください。
  • Debian (DSA-4330) や Red Hat (RHSA-2018:3004) などのベンダーが提供するセキュリティ更新プログラムを適用してください。
  • CISAは、既知の悪用されている脆弱性であるため、ベンダーの指示に従って速やかに更新を適用することを推奨しています。

4.2 暫定回避策(緩和策)

この脆弱性に対する特定の暫定回避策は公開されていません。最も効果的な対策は、速やかに最新バージョンへのアップデートを実施することです。一般的なセキュリティ対策として、信頼できないウェブサイトへのアクセスを避ける、不審なリンクをクリックしないといった行動が、攻撃のリスクを低減するのに役立ちます。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る