Chrome 138 アップデート:悪意のコード実行につながる 11件の脆弱性を修正

Chrome Security Update: Patch for 11 Vulnerabilities Enabling Malicious Code Execution

2025/06/25 CyberSecurityNews — Google が公表したのは、Chrome に存在する 11 件の脆弱性を修正する、重要なセキュリティ・アップデートのリリースであり、それらの欠陥の中には、ユーザーのシステム上での悪意のコード実行を引き起こす可能性を持つものも含まれるという。2025年6月24日 (火) に発表された、Chrome 138.0.7204.49 ステイブル・チャネル・アップデートは、高度なサイバー脅威への防御力を強化し続ける、Chrome ブラウザ・セキュリティにおける重要なマイルストーンとなるものだ。

この包括的なパッチで対処されたのは、ユーザー・システムの侵害で攻撃者が悪用する可能性のある、解放後メモリ使用/ポリシー適用/データ検証などの、複数の攻撃ベクターにわたる脆弱性である。

概要
  1. Chrome 138.0.7204.49 は、悪意のコードの実行を可能にする、11 件のセキュリティ脆弱性を修正するものであり、2025年6月24日にリリースされた。
  2. Animation コンポーネントにおける、解放後メモリ使用の脆弱性 CVE-2025-6555 を悪用する攻撃者は、悪意の Web ページを介して、任意のコード実行の可能性を手にする。
  3. 追加の修正:ローダー・ポリシーの適用に関連する脆弱性 CVE-2025-6556 および、DevToolsのデータ検証に関連する CVE-2025-6557 は、XSS および情報漏洩の可能性を持つものだ。
CVE-2025-6555:
Animation コンポーネントにおける解放後メモリ使用の脆弱性

脆弱性 CVE-2025-6555 は、今回のアップデートで修正された最も深刻な欠陥である。深刻度が Medium に分類されるが、$4,000 という高額な報奨金が提供された。

この解放後メモリ使用 (use-after-free) の脆弱性は、Chrome の Animation コンポーネントに存在する。このコンポーネントは、CSS/JavaScript 駆動型のアニメーションに加えて、Web ページ内の動的な視覚効果を処理する、重要なシステムである。

メモリ・ポインタが指しているメモリが解放された後も、そのメモリ・ポインタをプログラムが使用し続けることで、この脆弱性は発生する。2025年3月30日に、セキュリティ研究者 Lyra Rebane が、この脆弱性を発見した。複雑なブラウザ・コンポーネントにおける、厳格なメモリ管理監査の必要性を示す脆弱性である。

CVE-2025-6556:
Loaderコンポーネントにおけるポリシー適用の不備

脆弱性 CVE-2025-6556 は、Chrome の Loader コンポーネントにおけるポリシー適用の不備に関連する欠陥である。深刻度は Low であるが、発見者である Shaheen Fazim には、$1,000 の報奨金が支払われた。

この脆弱性は、これらのリソースの読み込みと処理方法を管理するセキュリティポリシーの検証と適用が不十分であることに起因しています。

CVE-2025-6557:
DevTools における不十分なデータ検証

脆弱性 CVE-2025-6557 は、Chrome の DevTools コンポーネントに影響を及ぼす、深刻度 Low の脆弱性である。発見者である Ameen Basha M K には、$1,000 の報奨金が支払われた。

悪意のデバッグ・スクリプトの作成や、データ構造の操作により、この脆弱性を悪用する攻撃者は、ユーザーのブラウジング・セッションやローカル開発環境に関する、機密情報へのアクセスの可能性を手にする。

ーーー

Chrome の内部セキュリティ・インフラでは、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity/libFuzzer/AFL などの高度な検出ツールが採用されており、潜在的な脆弱性を開発中に特定しているという。

メモリ破損の問題/未定義の動作/他のセキュリティ関連バグなどは、製品版リリースに実装される前に、これらの自動化システムにより検出されるという。

このアップデートは、今後の数日〜数週間の間に、Windows/Mac/Linux プラットフォームへ向けて段階的に展開される。また、拡張ステイブル・チャネルにも、バージョン 138.0.7204.50 が提供される。

Chrome を更新するには、”About Chrome” のクリック、もしくは、”chrome://settings/help” の入力により、Chrome 138.0.7204.49 が表示されたときに、”Update” をクリックして、ブラウザを再起動する。

今回の Chrome アップデートでは、11件もの脆弱性が修正されますが、その中には、悪意のコード実行へと至る欠陥も含まれています。特に Animation コンポーネントの脆弱性 CVE-2025-6555 は、日常的に使われる機能だけに注意が必要という感じです。ご利用のユーザーさんは、早めに ご対応ください。よろしければ、Chrome で検索も、ご参照ください