Chrome Patches Four High-Severity Vulnerabilities in Latest Stable Channel Update
2025/02/12 SecurityOnline — Google が公表したのは、Chrome Desktop 版のアップデートであり、Windows/Mac 向けのバージョン 133.0.6943.98/.99、および、Linux 向けのバージョン 133.0.6943.98 のリリースである。このアップデートでは、深刻度の高いセキュリティ脆弱性4件が修正されている。それらの脆弱性の一部が攻撃者に悪用されると、任意のコード実行/機密データへの不正アクセスの機会が生じるとされる。すべてのユーザーに対して強く推奨されるのは、速やかに Chrome を更新し、自分自身を守ることだ。
このアップデートは、今後の数日から数週間にわたって展開される。具体的な修正点は、Chrome ブラウザの主要コンポーネントである、V8 JavaScript エンジン/ブラウザ UI/Navigation コンポーネントなどである。特に懸念されるのは、悪用に成功した攻撃者による、メモリ操作と悪意のコード実行を可能にする、いくつかの “use after free” の脆弱性である。
最も注目すべき修正点は、研究者 Popax21 により報告された、V8 JavaScript における深刻度の高い “use after free” の脆弱性 CVE-2025-0995 に対処するものだ。 この問題の重大性を明らかにした Popax21 は、Google のバグバウンティ・プログラムを通じて $55,000 の報奨金を獲得した。
この脆弱性は、JavaScript コード実行を担う、Chrome のコア・コンポーネント V8 JavaScript エンジンに存在するものだ。この脆弱性の悪用に成功した攻撃者は、影響を受けるブラウザのコンテキスト内に悪意のコードを挿入し、実行することで、ユーザー データやシステム全体を危険にさらす機会を手にする。
その他にも、3件の深刻な脆弱性が修正されている。
CVE-2025-0996:ブラウザ UI における、深刻度の高い不適切な実装の欠陥。yuki yamaoto が報告。この脆弱性に関する詳細は、現時点では限定された範囲で報じられている。Chrome ブラウザの UI の弱点が露呈し、攻撃者による要素の操作または偽装が生じ、ユーザーが騙される可能性がある。
CVE-2025-0997:Navigation コンポーネントに影響を及ぼす、深刻度の高い “use after free” の脆弱性。asnine が報告。この欠陥を悪用する攻撃者により、ブラウザ・ナビゲーションの操作や、悪意の Web サイトへのユーザーのリダイレクト、機密情報の公開などにいたる可能性がある。
CVE-2025-0998:V8 JavaScript エンジンに存在する、深刻度の高い境界外メモリ・アクセスの脆弱性。Alan Goodman が報告。この脆弱性の悪用に成功した攻撃者は、意図されたメモリ境界外でデータを Read/Write し、システム・クラッシュやコード実行を引き起こす可能性を手にする。注目すべきことに、この脆弱性は 2024年12月31日の時点で発見されており、パッチ適用が複雑だったことが示唆される。
通常において Chrome は、バック・グラウンドにおいて自動的に更新される。ただしユーザーは、ブラウザの右上隅にある3つの縦のドットをクリックし、“Help” > “About Google Chrome” へと移動し、手動で更新を確認できる。その後に、Chrome は提供されているアップデートをチェックしてインストールする。更新を有効化にするために、通常ではブラウザが再起動される。
今回のパッチ適用された脆弱性の重大性を考えると、すべてのユーザーにとって、 Chrome の最新バージョンへの更新は重要である。今すぐブラウザを更新し、保護の状態を維持してほしい。
Chrome の4件の脆弱性が FIX しましたが、すべて深刻度が High と評価されていますので、ご注意ください。前回の Chrome に関するトピックは、2025/02/04 の「ValleyRAT マルウェアの新種を検出:感染ベクターは偽の Chrome ダウンロード」です。よろしければ、Chrome で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.