ニュース

「ChromeOS 121」正式版がリリース ~深刻度「High」を含む14件の脆弱性を修正

新機能や仕様変更については未アナウンス

「ChromeOS 121」正式版がリリース

 米Googleは2月7日(現地時間)、「ChromeOS 121」および「ChromeOS Flex 121」の正式版v121.0.6167.159を発表した。CVE番号ベースで14件の脆弱性を修正されているほか、CVE番号が付与されていないAshの問題も修正されている。

 修正された脆弱性は以下の通り(括弧内は深刻度)。

ChromeOS 脆弱性報奨プログラムで報告された脆弱性

  • CVE-2024-1280:Out-of-bounds write in CAMX driver(Medium)
  • CVE-2024-1281:Out of Bound Write in cam_lrme_mgr_hw_prepare_update(Medium)
  • CVE-2024-25556:OOB Write In PhysmemCreateNewDmaBufBackedPMR(Medium)
  • CVE-2024-25557:Physical Pages UAF in PowerVR GPU Device Side can cause Arbitrary Read and Write physical memory from userspace(Medium)
  • CVE-2024-25558:PowerVR GPU Driver Controllable OOB Writes because of Integer overflows in function DevmemIntChangeSparse(Medium)

サードパーティ製モジュールの脆弱性

  • (CVE番号未定):Use after free in Ash(High)
  • CVE-2023-6817:Linux Kernel(Medium)
  • CVE-2023-6932:Linux Kernel(Medium)

Chromeの脆弱性

  • CVE-2024-0807:Use after free in WebAudio(High)
  • CVE-2024-0808:Integer underflow in WebUI(High)
  • CVE-2024-0814:Incorrect security UI in Payments(Medium)
  • CVE-2024-0813:Use after free in Reading Mode(Medium)
  • CVE-2024-0806:Use after free in Passwords(Medium)
  • CVE-2024-0811:Inappropriate implementation in Extensions API(Low)
  • CVE-2024-0809:Inappropriate implementation in Autofill(Low)

 なお、新機能や仕様変更については今のところアナウンスされていない。

 「ChromeOS」のアップデートは、一部の環境から順次展開される。アップデートできるようになると、「設定」画面の[ChromeOS について]画面から適用が可能だ。なお、一部機能は段階的にロールアウトされる。すぐには利用できないことがあるので注意したい。