Trusted Design

CVE-2024-4761 の詳細

CVEの情報

説明:
Out of bounds write in V8 in Google Chrome prior to 124.0.6367.207 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High)

CVE更新日: 2024-05-14 16:17:35.810000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2024-05-16

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.024730000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2024-4761は、Google ChromeのJavaScriptエンジンであるV8における境界外書き込み(Out of Bounds Write)の脆弱性です。この脆弱性は、細工されたHTMLページを介してリモートの攻撃者によって悪用され、メモリの境界外への書き込みが行われる可能性があります。

1. 脆弱性の概要

1.1 影響

この脆弱性が悪用されると、リモートの攻撃者が細工されたHTMLページを通じて、メモリの境界外にデータを書き込む可能性があります。 これにより、任意のコード実行、データ破損、またはシステムクラッシュにつながる可能性があります。 Webブラウザの場合、リモートの攻撃者が悪意のあるコードを実行し、ユーザーのシステムを危険にさらす可能性があります。 また、情報の取得、情報の改ざん、およびサービス運用妨害(DoS)状態に陥る可能性もあります。

1.2 深刻度

この脆弱性は深刻度「高」と評価されています。 CVSSv3.0/3.1による基本評価値は8.8(重要)です。 攻撃元区分はネットワーク、攻撃条件の複雑さは低、攻撃に必要な特権レベルは不要、利用者の関与は要、影響の想定範囲は変更なし、機密性・完全性・可用性への影響はすべて高とされています。 CVSSv2の基本評価値は10(緊急)で、現状値は8.3です。CVSSv3の基本評価値は8.8、現状値は8.2です。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受けるのは、Windows、Mac、Linux版のGoogle Chromeです。具体的には、以下のバージョンより前のGoogle Chromeが影響を受けます。 * Google Chrome 124.0.6367.207より前のバージョン (Linux向け) * Google Chrome 124.0.6367.207/.208より前のバージョン (WindowsおよびMac向け)

また、この脆弱性はChromiumをベースとする複数のWebブラウザにも影響を与える可能性があります。これには、Microsoft Edge、Opera、Brave、Vivaldiなどが含まれます。 Microsoft Edgeに関しては、バージョン124.0.2478.105より前のバージョンが影響を受けます。

2.2 影響を受ける設定

この脆弱性はGoogle ChromeのJavaScriptエンジンであるV8における境界外書き込みの欠陥に起因しており、特定の環境設定に依存するものではありません。

3. 影響を受けた時の兆候

Googleは、この脆弱性に対するエクスプロイトが「野放し状態(in the wild)」で存在することを認識していると発表しており、CISAの既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog)にも追加されています。 しかし、現在の情報では、システムが侵害された場合にユーザーが認識できる具体的な兆候や症状については記載がありません。

4. 推奨対策

4.1 本対策

各ベンダーから正式なセキュリティアップデートがリリースされています。 * Google Chrome: Windows/Mac版はバージョン124.0.6367.207/.208以降、Linux版はバージョン124.0.6367.207以降にアップデートしてください。 * Microsoft Edge: バージョン124.0.2478.105以降にアップデートしてください。 * その他のChromiumベースのブラウザ: Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザを使用している場合は、修正が利用可能になり次第、速やかにアップデートを適用することが推奨されます。

4.2 暫定回避策(緩和策)

CISAは、ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止することを推奨しています。 Microsoft Edgeの「強化されたセキュリティモード」機能は、この脆弱性を軽減できる可能性があります。 これ以外の具体的な暫定回避策については、現時点では不明です。

他に解説すべき観点

  • ゼロデイ脆弱性: CVE-2024-4761は、Google Chromeで対処された深刻度の高いゼロデイ脆弱性であり、匿名のリサーチャーによって2024年5月9日に報告されました。
  • CISA KEVカタログへの登録: 米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用された脆弱性カタログ(KEV)」に追加しており、連邦政府機関に対して特定の期限までにこの脆弱性に対処するよう義務付けています。

参照したサイト

  • NVD - CVE-2024-4761.
  • Google Releases Security Update for Vulnerability CVE-2024-4761 - NHS England Digital.
  • CVE-2024-4761 : Out of bounds write in V8 in Google Chrome prior to 124.0.6367.207 allowed a rem - CVE Details.
  • CVE-2024-4761 - CVE Record.
  • Google Chrome の脆弱性 CVE-2024-4761 が FIX:野放し状態での悪用を確認.
  • Microsoft Edge (Chromium) < 124.0.2478.105 (CVE-2024-4761) | Tenable®.
  • 米当局、「Chromium」の脆弱性悪用に警鐘 - 派生ブラウザでも注意を - Security NEXT.
  • 新的Chrome零日漏洞CVE-2024-4761在积极利用中 - 安全114.
  • 悪用脆弱性リストに医療データ連携ソフト関連など2件が登録 - 今月5度目の追加 - Security NEXT.
  • JVNDB-2024-003196 - JVN iPedia - 脆弱性対策情報データベース.
  • Microsoft Edge セキュリティ更新プログラムのリリースノート.
  • 【漏洞通告】Google Chrome V8越界写入漏洞(CVE-2024-4761) - 启明星辰.
  • 2024年のサイバーセキュリティ振り返り-KEVカタログが示す脆弱性の実態- | SQAT®.jp.
  • CVE-2024-4761 - Alpine Security Tracker.
  • 6月の脆弱性悪用リスト「KEV」への登録は9件 - Security NEXT.

NVDサイト

NVDでCVEの詳細を見る

戻る