Chrome 135: 14 Security Fixes, High-Severity CVE-2025-3066 Flaw Patched
2025/04/02 SecurityOnline — Google Chrome チームは、Windows/macOS/Linux の Stable チャネルで Chrome 135 を正式にリリースし、数十億人のユーザーに対して、セキュリティ強化/バグ修正/コード改善などを提供している。このアップデートには、14 件のセキュリティ修正が取り込まれているが、その一部は、外部の研究者たちにより特定されたものだ。
今回のアップデートで重要とされる脆弱性 CVE-2025-3066 は、Chrome のナビゲーション・システムに存在する深刻度の高い解放後メモリ使用の欠陥であり、セキュリティ研究者である Sven Dysthe (@svn-dys) により発見されものだ。
現時点において Google は、技術的な詳細を公開していないが、大半のユーザーがパッチを適用するまの時間を確保するための慣行である。この種類のバグは、他の欠陥と組み合わされた場合において、リモート・コード実行やサンドボックス・エスケープを可能にするため、危険な脆弱性としてみなされる。
Chrome 135 で対処された、その他の脆弱性の一覧を、以下に示す。
| CVE ID | Severity | Component | Researcher | Reward |
|---|---|---|---|---|
| CVE-2025-3066 | High | Navigations | Sven Dysthe (@svn-dys) | [TBD] |
| CVE-2025-3067 | Medium | Custom Tabs | Philipp Beer (TU Wien) | $10,000 |
| CVE-2025-3068 | Medium | Intents | Simon Rawet | $2,000 |
| CVE-2025-3069 | Medium | Extensions | NDevTK | $1,000 |
| CVE-2025-3070 | Medium | Extensions (Input Validation) | Anonymous | $1,000 |
| CVE-2025-3071 | Low | Navigations | David Erceg | $2,000 |
| CVE-2025-3072 | Low | Custom Tabs | Om Apip | $1,000 |
| CVE-2025-3073 | Low | Autofill | Hafiizh | $500 |
| CVE-2025-3074 | Low | Downloads | Farras Givari | $500 |
一連の問題の深刻度は様々だが、ナビゲーション/エクステンション/ダウンロード/入力検証などの、ブラウザのコア機能に分布している。これらの脆弱性は、ブラウザの整合性の侵害を狙う攻撃者が、頻繁に狙うコンポーネントに存在する。
すでに展開されているアップデートでは、Linux Chrome 135.0.7049.52 および、Windows/Mac Chrome 135.0.7049.41/42 が提供されている。これらの脆弱性から保護するために、以下の手順に従ってほしい:
- Chrome を開く
- Settings → About Chrome へ移動
- Chrome による自動的なアップデート確認が行われ、新たな Chrome 135 インストールされる
Chrome 135.0.7049.xx がリリースされ、全体で 14件の脆弱性が FIX とのことです。今回のアップデートで、最も重要な脆弱性とされる CVE-2025-3066 ですが、Google のアドバイザリが見つからないので、Red Hat へのリンクを貼っておきました。ひょっとすると、Chromium の管轄なのかもしれません。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.