Google Fixes High-Severity Chrome Vulnerabilities (CVE-2025-0444 & CVE-2025-0445)
2025/02/04 SecurityOnline — Chrome チームは、Windows/Mac/Linux の Stable チャネルにバージョン 133 をリリースした。このリリースでは、重要なセキュリティ修正 12件を取り込むかたちで、一連のバグに対する更新が提供されている。
新機能は常にエキサイティングなものであるが、今回のリリースは、安全なブラウジング・エクスペリエンスを維持するために必要な、脆弱性の修正に重点を置くものである。この更新では、Linux 版のバージョンは 133.0.6943.53 になり、Windows/Mac 版は 133.0.6943.53/54 になる。すでにアップデートは展開され、今後の数日から数週の間に各ユーザーの手元に届くという。
このリリースは、Chrome のレンダリング・エンジンである Skia と V8 JavaScript エンジンに存在する、2つの深刻な use-after-free 脆弱性に対処している。この種の脆弱性の悪用に成功した攻撃者は、ユーザーのシステム上で任意のコード実行の可能性を手にするため、きわめて危険である。
1つ目の脆弱性 CVE-2025-0444:Chrome がビジュアル要素のレンダリングで使用する、グラフィック・ライブラリ Skia の use-after-free の欠陥である。この脆弱性は、2025年1月19日に Francisco Alonso (@revskills) により報告され、Chrome のバグバウンティ・プログラムを通じて $7,000 という高額の報奨金が支払われた。この use-after-free の脆弱性とは、すでに解放されているメモリにプログラムがアクセスするときに発生し、予測できない動作や潜在的なセキュリティ・リスクにつながるものである。したがって、脅威アクターにより悪用されると、悪意のコード挿入の可能性が生じるという。
2つ目の脆弱性 CVE-2025-0445:V8 JavaScript エンジンに存在する。これも use-after-free の欠陥であり、2025年1月27日に “303f06e3” という匿名の研究者により報告されている。V8 は JavaScript の処理において、重要な役割を果たしているため、この脆弱性が悪用されると深刻な被害が生じる可能性がある。
3つ目の脆弱性 CVE-2025-0451:Extensions API に存在する Medium レベルの欠陥である。この不適切な実装の脆弱性は、2022年9月の時点で、Vitor Torres と Alesandro Ortiz により報告され、ようやく対処されたものだ。このバグは use-after-free ほど深刻ではないが、Extensions API の弱点は悪意のエクステンションにより悪用される可能性があるため、パッチの適用は重要である。
手動で更新を確認するには、以下の場所へと移動する:
- Settings > About Chrome
- そこで、ブラウザを再起動して変更を適用する。
Chrome の 12件の脆弱性が FIX しました。文中にも記されているように、今回のリリースは、安全なブラウジング・エクスペリエンスを維持するために必要な、脆弱性の修正に重点を置くものであるとのことです。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.