Chrome Update: 5 Security Fixes, High-Risk Flaws Addressed ASAP
2025/03/10 SecurityOnline — Chrome Stable チャンネル向けに重要なセキュリティ・アップデートがリリースされ、5つの脆弱性が深刻な修正されたが、その中の3つは、攻撃者が任意のコード実行を許す可能性を持つものだ。Windows/Mac/Linux の Chrome ユーザーに強く推奨されるのは、このブラウザの速やかな更新である。
今後の数日から数週にわたって、Windows/Mac には バージョン 134.0.6998.88/.89 が、Linux にはバージョン 134.0.6998.88 へのアップデートが展開される。今回のリリースで対処された、V8 JavaScript エンジンの2つのタイプ・コンヒュージョンの欠陥は、極めて深刻なものであるため、パッチ適用の遅滞は許されないと思ってほしい。
上記のとおり、このアップデートで最も注視すべきは、V8 JavaScript エンジンに影響を及ぼす、2つの深刻度の高いタイプ・コンヒュージョンの脆弱性 CVE-2025-1920/CVE-2025-2135 である。この種の脆弱性は、互換性のないデータ・タイプを用いて、プログラムがオブジェクトにアクセスするときに発生し、メモリ破損や任意のコード実行を引き起こす可能性がある。
脆弱性 CVE-2025-1920 を報告した Excello s.r.o. には、$7,000 の報奨金が提供された。また、Zhenghang Xiao (@Kipreyyy) が報告した CVE-2025-2135 も、高リスクの脆弱性である。
これらの脆弱性の発見は、JavaScript を実行させるための、Chrome の重要コンポーネントである V8 エンジンが、セキュリティ研究者たちにより継続的に精査されている状況を示している。これらの脆弱性の悪用に成功した攻撃者は、Web サイトに悪意のコードを挿入し、ユーザーのシステムを危険にさらす機会を得る。
その一方で、Chrome の GPU コンポーネントに存在する、深刻度の高い境界外書き込みの脆弱性 CVE-TBD (to be determined) が発見されたことで、さらに緊急性が高まっている。3月5日に報告された、この脆弱性を悪用する攻撃者は、想定されたメモリ境界を超えたデータの書き込みを達成し、システム・クラッシュやリモート・コード実行を引き起こす可能性を得る。GPU の脆弱性の検出/緩和は、きわめて難しいものであり、この問題の深刻さが高まっている。
今回のアップデートでは、以下の2つの Medium レベルの脆弱性も修正されている。
CVE-2025-2136:Inspector の解放後メモリ使用の脆弱性
Sakana.S により報告され、$3,000 の報奨金が支払われた。この解放後メモリ使用の欠陥は、すでに解放されているメモリに、プログラムがアクセスするときに発生し、クラッシュやコード実行につながるとされる。
CVE-2025-2137:V8 の境界外読み取りの脆弱性
zeroxiaobai@ により報告され、$2,000 の報奨金が支払われた。この境界外読み取りの脆弱性を悪用する攻撃者は、想定されたメモリ境界を超えたデータ読み取りを達成し、機密情報の漏洩につながるとされる。
今回のリリースでパッチが適用された、V8 エンジンと GPU コンポーネントの高リスクの脆弱性を考慮すると、Chrome ユーザーには、速やかなアップデートが強く推奨される。
Google Chrome の V8 エンジンと GPU コンポーネントにおける脆弱性が FIX しました。数日前には、 Chrome Desktop 版のアップデートがリリースされています (2025/03/04:Google Chrome の深刻な脆弱性 CVE-2025-1914 などが FIX) 。ご利用の方は、アップデートを忘れないよう、お気をつけください。よろしければ、Chrome で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.