CVE-2025-0999 & CVE-2025-1426: Chrome’s Latest Update Patches Major Security Risks
2025/02/18 SecurityOnline — Google Chrome の安定版チャンネルへ向けた重要なアップデートが提供され、Windows/Mac 版のバージョン 133.0.6943.126/.127 および、Linux 版のバージョン 133.0.6943.126 が配信されている。このロールアウトは、今後の数日から数週間にわたって展開され、3つのセキュリティ脆弱性が修正されるが、その中の2つは深刻度が High のものである。
最も重要な修正は、Chrome の V8 JavaScript エンジンに存在する、深刻度の高いヒープバッファ・オーバーフローの脆弱性 CVE-2025-0999 である。2月4日の時点で、Seunghyun Lee (@0x10n) により報告された脆弱性であり、Google の脆弱性報奨金プログラムを通じて $11,000 という高額の報奨金が支払われたという。ヒープバッファ・ オーバーフローは特に危険な脆弱性であり、任意のコードを実行する攻撃者に、ユーザー・システムの制御を許す可能性がある。この欠陥を迅速に修正することが、Chrome ユーザーを保護するためには不可欠である。
2つ目の深刻度の高い脆弱性 CVE-2025-1426 は、GPU プロセスにおけるヒープバッファ・オーバーフローに関係するものだ。12月11日の時点で un3xploitable と GF により発見された脆弱性であり、侵害が生じると重大なリスクがもたらされる。現時点では限られた情報だけが提供されているが、GPU の脆弱性の悪用の可能性は、情報漏洩からシステムの不安定化にいたるまでの、さまざまな悪意の目的に関与するとされる。
3つ目の脆弱性 CVE-2025-1006 は、ネットワーク・コンポーネントにおける Use after free の問題であり、重大度 Medium と評価されている。この脆弱性は、1月18日の時点で Palo Alto Networks の研究者チームにより報告され、$4,000 の報奨金が支払われている。解放後使用の脆弱性には、クラッシュにつながる可能性があるため、攻撃が成功すると深刻な事態に陥ることもある。
これらの脆弱性の具体的な詳細は、さらなる悪用を防ぐために、しばらくの間は限定されたものになるだろう。ユーザーに対して強く推奨されるのは、アップデートが提供された後に、速やかにブラウザを更新することだ。
最新バージョン の実行を確認するには、Chrome を開いて右上隅にある縦に並んだ3つのドットをクリックし、“Help” > “About Google Chrome” へと移動する。Chrome による自動的なアップデートの確認が行われ、新しいバージョンが利用可能な場合は、再起動が求められる。今すぐ、アップデートしてほしい。
Chrome の3件の脆弱性が FIX しました。前回のアップデートは、2025/02/04 の「Google Chrome の深刻な脆弱性 CVE-2025-0444/0445 などが FIX:use-after-free に対処」です。よろしければ、Chrome で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.