CVE-2020-6418 : Google Chrome における型混乱の脆弱性の悪用が確認される

Google は、Google Chrome の型混乱の脆弱性の悪用を確認しています。

背景

2月24日、Google はデスクトップ向け「Google Chrome」の最新安定版を公開し、悪用がすでに確認されている脆弱性を含むいくつかの脆弱性に対処しました。

分析

CVE-2020-6418 は、Google Chrome のオープンソース JavaScript および WebAssembly エンジンである V8 における型混乱の脆弱性です。この脆弱性は、Google 脅威分析グループ（TAG）のセキュリティエンジニアである Clément Lecigne 氏により発見および報告されました。昨年、Lecigne 氏は、CVE-2019-5786 を発見して報告しています。CVE-2019-5786 は、Google Chrome の解放後のメモリ利用（Use-after-Free）の脆弱性であり、この脆弱性の悪用もすでに確認されています。

Google は、この脆弱性がゼロデイとしてすでに悪用されているという報告を認識しています。

現時点では、脆弱性に関する詳細情報は限られています。この脆弱性に関する詳細情報は、今後、パッチ適用後に公開される可能性があります。このブログ記事は、詳細情報が公開され次第、更新されます。

概念実証

この脆弱性の悪用はすでに確認されていますが、このブログ記事が公開された時点では、概念実証は公開されていません。

ソリューション

Google は、CVE-2020-6418に対応するために、 Windows、Mac、Linux 用の Chromeバージョン80.0.3987.122をリリースしました。また、Google はこのリリースで範囲外メモリアクセスの脆弱性（CVE-2020-6407）および CVE 識別子が関連付けられていない整数オーバーフローの脆弱性の2件の脆弱性も修正しました。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

• Google Chrome の最新安定版(80.0.3987.122)

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。