Chrome Update Fixes High-Severity “Use After Free” Vulnerability
2025/04/09 SecurityOnline — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 135.0.7049.84/.85 と、Linux のバージョン 135.0.7049.84 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけて、ユーザーに公開される予定だという。この最新リリースには、深刻度の高い脆弱性への対処に重点を置いた、重要なセキュリティ修正が取り込まれている。
いつものとおり Google は、大多数のユーザーがアップデートを受信するまで、詳細なバグ情報や関連リンクへのアクセスを制限する可能性があると述べている。つまり。ユーザーがシステムを保護する前に、脆弱性が悪用される可能性を防ぐための予防措置が取られている。また、他のプロジェクトが依存するサードパーティ製ライブラリにバグが存在するが、そのためのパッチが適用されていない場合にも、制限が適用される場合がある。
今回のアップデートには、以下のセキュリティ修正が含まれている。
CVE-2025-3066:Site Isolation における、深刻度 High の解放後メモリ使用の脆弱性。この脆弱性は、2025年3月21日に Sven Dysthe (@svn-dys) により報告され、Google は $4,000 の報奨金を支払っている。
このメモリ破損の欠陥の一種である、解放後メモリ使用 (use-after-free) の脆弱性を悪用する攻撃者は、任意のコード実行やプログラム・クラッシュを引き起こす可能性を得る。この問題は、すでに解放されたメモリにプログラムがアクセスするきに発生し、想定外の危険な動作を引き起こすとされるものだ。
Site Isolation とは、Web サイトを異なるプロセスに分離することでセキュリティを強化する、Chrome のセキュリティ機能のことである。この分離により、特定の種類の攻撃の影響を軽減できるが、新たに報告された脆弱性が示唆するのは、この Site Isolation メカニズムの欠陥である。
脆弱性 CVE-2025-3066 の深刻度が High であることから、Chrome ユーザーにとって重要になるのは、最新の Stable チャネルが提供され次第、速やかに更新することである。アップデートを適用すると、この 解放後メモリ使用 (use-after-free) の脆弱性が修正され、潜在的な悪用から保護される。
安全なブラウジング体験を維持するために推奨されるのは、Chromeブラウザを最新の状態に保つことだ。
Chrome の脆弱性 CVE-2025-3066 が FIX しました。このブログでは、4月に入ってから2本目の、Chrome 記事となります。前回は、2025/04/02 の「Chrome 135 がリリース:CVE-2025-3066 などを含む 14件の脆弱性に対処」でした。よろしければ、Chrome で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.