Chrome 134 Update Addresses High-Risk Vulnerability (CVE-2025-1914)
2025/03/04 SecurityOnline — Google が公表したのは、Chrome Desktop 版のアップデートであり、Windows 向けのバージョン 134.0.6998.35/36、Mac 向けのバージョン 134.0.6998.44/45 および、Linux 向けのバージョン 134.0.6998.35 のリリースである。このアップデートでは、14件のセキュリティ脆弱性が修正され、その中には V8 JavaScript エンジンにおける脆弱性も含まれている。すでにアップデートは展開され、今後の数日から数週の間に各ユーザーの手元に届くという。
今回のアップデートで修正された脆弱性のうち、最も深刻なのは、Chrome の V8 JavaScript エンジンに存在する境界外読み取り脆弱性 CVE-2025-1914 である。この欠陥は、Zhenghang Xiao (@Kipreyyy) と Nan Wang (@eternalsakura13) により報告され、対価として $7,000 の報奨金が支払われた。この脆弱性の悪用に成功した攻撃者は、機密データへのアクセス/任意のコード実行の可能性を手にする。
その他にも、Chrome 134 は、さまざまなコンポーネントに存在する、深刻度 Medium 〜 Low の問題に対処している:
- CVE-2025-1915:パス名の不適切な制限に関する DevTools の脆弱性。Topi Lassila により報告された。報奨金は $4,000。
- CVE-2025-1916:Profiles における、境界外読み取りの脆弱性。parkminchan により報告されたものであり、報奨金は $3,000。
- CVE-2025-1918/CVE-2025-1919:PDFium/Media における、境界外読み取りの欠陥。これらの脆弱性が浮き彫りにするのは、メディア処理コンポーネントを最新の状態に保つことの重要性である。
- CVE-2025-1917/CVE-2025-1921/CVE-2025-1922/CVE-2025-1923:ブラウザ UI/メディアストリーム/選択機能/権限プロンプトにおける、不適切な実装の脆弱性。
V8 JavaScript エンジンの脆弱性は深刻なものであり、その他のセキュリティ修正の範囲は広範に及ぶ。したがって、ユーザーに対して強く推奨されるのは、Chrome ブラウザを Stable チャンネル・バージョン 134 へと、速やかにアップデートすることである。このアップデートは段階的に展開されるため、ユーザーは定期的にアップデートを確認する必要がある。
Chrome の 14件の脆弱性が FIX しました。これらの脆弱性が悪用されると、機密データへのアクセスや任意のコード実行に至る恐れがあるとのことです。ユーザーの方は、アップデートを忘れないよう、お気をつけください。Chrome といえば、最近、Manifest V3 への移行が始まりました。よろしければ、以下の関連記事も、Chrome で検索と併せて、ご参照ください。
2025/02/21:Chrome の段階的な Manifest V3 移行が開始
2024/08/16:Manifest v2 ベースのエクステンション:延命策は?
2024/06/01:Manifest V3 移行:広告ブロッカー V2 対応は無効化
2022/09/28:Manifest V3 のテスト開始を発表:2023年6月に V2 は 消滅
2022/08/31:Manifest V3 :広告ブロック・エクステンション AdGuard
IoT OT Security News 
You must be logged in to post a comment.