Trusted Design

解説:

CVE-2024-4947に関して、以下の観点で解説します。

1. 脆弱性の概要

CVE-2024-4947は、Google ChromeのV8 JavaScriptエンジンにおけるタイプコンフュージョン（Type Confusion）の脆弱性です。この脆弱性は、細工されたHTMLページを介してリモートの攻撃者がサンドボックス内で任意のコードを実行することを可能にします。

1.1 影響 攻撃者は、この脆弱性を悪用して細工されたHTMLページをユーザーに閲覧させることで、ブラウザのクラッシュ、ヒープ破壊を悪用した機密情報への不正アクセス、またはサンドボックス内での任意のコード実行を引き起こす可能性があります。また、悪意のあるウェブサイトを訪問することでマルウェアに感染する事例も報告されています。

1.2 深刻度 この脆弱性の深刻度は「高（High）」と評価されています。CVSS v3の基本値は8.8（重要）です。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、この脆弱性を既知の悪用された脆弱性カタログ（KEV）に追加しており、実際に活発な悪用が確認されていることを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

• Google Chrome: バージョン125.0.6422.60より前のバージョン（Linux向け）およびバージョン125.0.6422.60/.61より前のバージョン（Mac/Windows向け）が影響を受けます。
• Chromiumベースのブラウザ: Google Chrome以外にも、Microsoft Edge、Vivaldi、Brave、Operaなど、Chromiumをベースに開発されているブラウザもこの脆弱性の影響を受けます。
• Microsoft Edge: Stable Channelのバージョン124.0.2478.109より前、Extended Stable Channelのバージョン124.0.2478.109より前、およびStable Channelのバージョン125.0.2535.51より前が影響を受けます。
• Fedora: Fedora 38および39も影響を受ける製品として言及されています。

2.2 影響を受ける設定 特定の「設定」が脆弱性に関与しているという記述は、今回の調査では確認できませんでした。この脆弱性はV8 JavaScriptエンジン自体に存在します。

3. 影響を受けた時の兆候

この脆弱性の影響を受けた場合、以下のような兆候が現れる可能性があります。

• ブラウザのクラッシュ。
• サンドボックス内での意図しないコード実行。
• 機密情報への不正アクセス。
• 悪意のあるウェブサイト訪問によるマルウェア感染。

4. 推奨対策

4.1 本対策

• Google Chrome: Google Chromeをバージョン125.0.6422.60以降（Linux向け）または125.0.6422.60/.61以降（Mac/Windows向け）にアップデートしてください。通常、Chromeは自動的にアップデートされますが、手動で確認する場合は、Chromeメニューから「ヘルプ」>「Google Chromeについて」にアクセスすることで更新を完了し、ブラウザを再起動してください。
• Microsoft Edge: Microsoft Edgeをバージョン124.0.2478.109以降（StableおよびExtended Stable Channel向け）またはバージョン125.0.2535.51以降にアップデートしてください。
• その他のChromiumベースのブラウザ: Vivaldi、Brave、OperaなどのChromiumベースのブラウザを使用している場合も、各ベンダーの指示に従い、最新バージョンへアップデートすることが強く推奨されます。

4.2 暫定回避策（緩和策）

• Microsoft Edgeの強化されたセキュリティモード: Microsoft Edgeの強化されたセキュリティモード機能は、CVE-2024-4947で説明されている脆弱性を軽減できる可能性があります。
• その他の具体的な暫定回避策は確認されていませんが、一般的に、信頼できないWebサイトへのアクセスを避けるなど、基本的なセキュリティ対策を講じることが重要です。

5. その他の解説すべき観点

• 発見者: この脆弱性は、KasperskyのVasily Berdnikov氏とBoris Larin氏によって報告されました。
• 悪用事例: 2024年初頭のキャンペーンにおいて、APT脅威アクターであるLazarusがこの脆弱性を悪用し、標的のエンドポイントにマルウェアを感染させた事例が報告されています。攻撃者は、「DeFiTankLand」という名前の偽のビデオゲームを宣伝するソーシャルメディアネットワークとそれにリンクされたWebサイトを利用して、ユーザーを誘導しました。

参照したサイト

• CVE-2024-4947 Detail - NVD
• CVE-2024-4947: Google Chrome V8 Type Confusion RCE Flaw - SentinelOne
• Google Chrome の深刻な脆弱性 CVE-2024-4947 が FIX：悪用を確認 - IoT OT Security News
• Chrome の深刻な脆弱性 CVE-2024-4947：PoC エクスプロイトが提供された
• Google Chrome 多個漏洞
• Google Chrome、新たなゼロデイ脆弱性を含む9つのセキュリティ問題に対応 - innovaTopia
• 「Chrome」にアップデート - 今月3度目のゼロデイ脆弱性修正 - Security NEXT
• Microsoft Edge セキュリティ更新プログラムのリリースノート
• 中危Google Chrome<125.0.6422.60 V8引擎存在类型混淆漏洞(CVE-2024-4947)
• 「MS Edge」がゼロデイ脆弱性を解消 - 前版ベースに急遽対応 - Security NEXT
• 以Chromium為基礎之瀏覽器存在安全漏洞(CVE-2024-4947) - 國家資通安全研究院
• Chromium - 為基礎之瀏覽器存在安全漏洞- (CVE-2024-4947) - ，請儘速確認並進行修補
• JVNDB-2024-003231:Google の Google Chrome における型の取り違えに関する脆弱性
• 悪用脆弱性リストに医療データ連携ソフト関連など2件が登録 - 今月5度目の追加 - Security NEXT
• 2024年のマルウェアキャンペーンで悪用されたゼロデイ脆弱性のレビュー - HP
• CVE-2024-4947 | Tenable®
• 標的型メール訓練サービス｜サイバープロテクター｜三井住友海上火災保険
• JVNDB-2024-003231 - JVN iPedia - 脆弱性対策情報データベース
• 今月4件目の「Chromium」ゼロデイ脆弱性を悪用リストに追加 - 米当局 - Security NEXT
• 谷歌迅速修复Chrome浏览器安全漏洞，已向用户推送更新 - 电子发烧友网
• Android のセキュリティに関する公開情報 - 2024 年 11 月
• ChromeOSのLTSチャネルに更新版 ～深刻度「Critical」を含む4件の脆弱性に対処 - 窓の杜
• Security Update Guide - Microsoft Security Response Center
• 2024年12月版 最速！危険度の高い脆弱性をいち早く解説「脆弱性研究所」第29回
• 「Microsoft Edge」にリモートコード実行の恐れ ～Edge固有の脆弱性修正を含むセキュリティアップデート - 窓の杜
• Weekly Report 2025-04-02号 - JPCERT
• CSV版のダウンロード - 既知の悪用された脆弱性カタログ（日本語版）