Chrome Update Fixes High-Severity Security Flaw (CVE-2025-4096)
2025/04/30 SecurityOnline — Chrome チームが公表したのは、Windows/Mac/Linux 向けのバージョン 136 を提供する、最新のステイブル・チャネル・アップデートのリリースである。このアップデートでは、通常どおりに内部的な改善が施されているが、注目すべきは、同梱されている8つの重要なセキュリティ修正である。
これらの修正の中では、特に懸念されていた、脆弱性 CVE-2025-4096 が修正されている。この脆弱性は、Chrome の HTML レンダリング・エンジンに存在する、深刻度の高いヒープバッファ・オーバーフローの欠陥である。この脆弱性は、2025 年に匿名者が発見/報告したものであり、Chrome の Web ページ処理における欠陥の悪用を、攻撃者に対して許す可能性があるものだ。
この脆弱性の悪用に成功した攻撃者は、任意のコード実行などを達成し、システムの制御を奪う可能性を手にする。Chrome チームは、この脆弱性の深刻さを認識し、発見者に対して $5,000 の報奨金を支払ったという。
今回のリリースでは、主に DevTools における、重大度が Medium〜Low レベルの複数の問題にも対処している:
- CVE-2025-4050 (Medium):DevTools における境界外メモリ・アクセスの脆弱性 (匿名での報告)。
- CVE-2025-4051 (Medium):DevTools におけるデータ検証の不備 (Daniel Fröjdendahl による報告)。
- CVE-2025-4052 (Low):DevTools における不適切な実装 (vanillawebdev による報告)。
これらの脆弱性からシステムを保護するために、ユーザーに対して強く推奨されるのは、Chrome の最新バージョンへ向けた速やかなアップデートである。通常において自動更新がデフォルトで有効化されているが、”chrome://settings/help” にアクセスすることでもブラウザのバージョンを確認できる。
いつものとおり Googleは、大多数のユーザーのセキュリティが確保されるまで、バグの詳細関する公開を控えている。これらの脆弱性が、共有サードパーティ・ライブラリに影響を与える場合には、さらなる制限が適用される可能性もある。
Chrome 136 がリリースされましたが、今回は DevTools における複数の脆弱性にも対処しているとのことです。Chrome ユーザーさんは、アップデートを忘れないよう、ご注意ください。なお、Chrome に関連する直近の脆弱性は、2025/04/09 の「Chrome の深刻な脆弱性 CVE-2025-3066 が FIX:“Use After Free” の恐れ」となります。よろしければ、Chrome で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.