Google Chrome Zero-Day Vulnerability (CVE-2025-4664) Actively Exploited in The Wild
2025/05/15 gbhackers — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 136.0.7103.113/.114 と、Linux のバージョン 136.0.7103.113 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけてユーザーに公開され、世界中のユーザーが最新の機能強化を利用できるようになる。
今回のアップデートでは、以下の4つの脆弱性が修正された:
CVE-2025-4664 (深刻度 High)
Loader におけるポリシー強制の不備 (ゼロデイ)
Chrome の Loader コンポーネントにおける、ポリシー強制の不備に起因する脆弱性。この脆弱性の悪用に成功したリモートの攻撃者は、細工した HTML ページを通じてクロス・オリジンのデータ漏洩を引き起こす機会を得る。
Google は、「脆弱性 CVE-2025-4664 が、実際の攻撃で悪用されているという報告を認識している」と述べている。
この脆弱性は、2025年5月5日にセキュリティ研究者 @slonser_ により公開され、パッチのリリース前に悪用されている可能性が懸念されていた。この脆弱性が悪用されると、不正なコードの実行や、サンドボックス・エスケープに至る恐れがある。
CVE-2025-4609 (深刻度 High)
Mojo における不適切なハンドル処理
この脆弱性は、Chrome の IPC (Inter-Process Communication) レイヤーである Mojo において、特定の条件下で不正なハンドルが提供されることに起因する。
この脆弱性が悪用されると、Chrome のマルチ・プロセス・アーキテクチャにおいて、権限昇格やメモリ破損などの重大な問題が生じる可能性がある。この脆弱性は、2025年4月22日に研究者 Micky により報告された。
ID:417268830
内部監査による非公開の修正
これらの脆弱性は、Google の内部セキュリティ監査やファジングなどにより発見された、複数の問題の一部として修正された。
ーーー
いつものように Google は、一連の脆弱性の悪用を防ぐために、大半のユーザーがアップデートを完了するまで、詳細情報は非公開としている。この制限は、他のプロジェクトが依存しているサードパーティのライブラリに欠陥があり、その修正プログラムがリリースされていない状況に対しても適用される。
ユーザーに推奨されるのは、直ちに Chrome をアップデートし、これらの重要なセキュリティ・パッチを適用してシステムを保護することだ。
Google は、今回の脆弱性の発見および修正に貢献したセキュリティ研究者たちに謝意を示し、「安全なデジタル環境を維持するには、協力が不可欠である」と強調している。リリース・チャネルの管理に関するサポートや詳細については、Google のコミュニティ・サポート・フォーラムや、公式リソースを参照してほしい。
Chrome のゼロデイが修正されました。いつもなら、すべてに CVE が採番されるのですが、ID:417268830 の方は Chromium の脆弱性で、アドバイザリにも CVE がありませんでした。チョット気になります。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.