脆弱性悪用で「Chromium」や派生ブラウザ利用者に注意喚起 - 米当局
米当局は、「Chromium」に明らかとなった脆弱性が悪用されているとして注意を呼びかけた。「Chrome」や「Microsoft Edge」はもちろん、「Chromium」をベースに開発されているブラウザが広く影響を受けるおそれがあり、利用者は注意が必要だ。
「Chromium」のスクリプトエンジンに判明した型の取り違えの脆弱性「CVE-2024-7971」が悪用されているとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では現地時間8月26日、「悪用が確認された脆弱性カタログ(KEV)」へ同脆弱性を追加し、注意喚起を行ったもの。
細工したウェブページを閲覧すると脆弱性を悪用されるおそれがあり、同庁では共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を4段階中、上から2番目にあたる「高(High)」と評価している。
Googleでは、同脆弱性を修正した「Chrome 128.0.6613.85」「同128.0.6613.84」を同月21日に公開、マイクロソフトも修正を反映した「Microsoft Edge 128.0.2739.42」を8月22日にリリースしており、利用者にアップデートを求めている。
「Chromium」をベースとするブラウザは「Chrome」「MS Edge」以外にも、「Opera」「Vivaldi」「Brave」のほか、「Avira Secure Browser」や「Prisma Access Browser」など、セキュリティベンダーのセキュアブラウザなどとしても多数展開されている。同様の影響を受けるおそれがあり、注意が必要となる。
(Security NEXT - 2024/08/27 )
ツイート
PR
関連記事
F5「BIG-IP」のCookie設定に注意 - LAN内の機器など把握されるおそれ
SophosのWindows向けエンドポイント製品に権限昇格の脆弱性
リゾルバ「PowerDNS Recursor」にサービス拒否の脆弱性
NLnet LabsのキャッシュDNSサーバ「Unbound」に脆弱性
ブラウザ「Chrome」に2件の脆弱性 - アップデートで修正
Palo Alto、アドバイザリ7件を公開 - 一部ではPoCが公開済み
SonicWallのVPN製品「SMA1000」などに複数の脆弱性
「プロミス」装うフィッシングメール - 偽サイトに誘導
児童の氏名が記載された時間割表を紛失 - 高槻市の小学校
日立社会SIS、「電子透かしソリューション」を機能強化 - 閲覧期限設定を追加