Chrome High-Severity Vulnerabilities Allow Hackers to Gain Full Control
2025/07/23 gbhackers — Google が公表したのは、Chrome の深刻な脆弱性に対処する緊急のセキュリティ更新のリリースであり、パッチ適用が遅滞すると、ユーザー・システムの完全な制御を、攻撃者に許す可能性が生じるという。このリリースに伴い、Stable チャネルにおける Windows/macOS/Linux 向けのバージョンは 138.0.7204.168 へと更新されており、今後の数日から数週の間に、すべてのユーザーに対して順次展開される予定である。
重大なセキュリティ脆弱性が発見
今回のアップデートでは、3件の重大なセキュリティ脆弱性が修正されているが、そのうちで、特に深刻とされるのが CVE-2025-8010/CVE-2025-8011 の2件である。いずれの脆弱性も、Web ページの表示を支える Chrome の V8 JavaScript エンジンのタイプ・コンフュージョン (type confusion) に関連している。
これらの脆弱性は、2025年7月9日の時点で、セキュリティ研究者 Shaheen Fazim により発見され、潜在的な脅威に対処する継続的な取り組みの一環として、セキュリティ・コミュニティに共有されたものだ。この貢献に対して Google は、セキュリティ報奨金 $8,000 を支払っている。
| CVE ID | Severity | Vulnerability Type | Report Date | Reward |
| CVE-2025-8010 | High | Type Confusion | 2025-07-09 | $8,000 |
| CVE-2025-8011 | High | Type Confusion | 2025-07-09 | TBD |
このタイプ・コンフュージョンの脆弱性を悪用する攻撃者は、Web ブラウザにおけるデータ・タイプの解釈を操作し、メモリ破損や任意のコード実行を引き起こす機会を得るため、きわめて危険な状況へと陥る。これらの脆弱性の悪用に成功した攻撃者は、セキュリティ対策を回避し、機密情報の窃取やマルウェアのインストールを可能にする。
Google の内部セキュリティチームは、外部から報告された脆弱性への対応に加え、包括的な監査を通じて発見された、数多くの追加の修正を実施している。これらの社内イニシアチブで用いられるのは、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity/libFuzzer/AFL などの高度な検出ツールであり、潜在的なセキュリティ上の脆弱性を、リリース前に特定/修正している。
いつものとおり Google は、大多数のユーザーが更新の適用を完了するまで、脆弱性の詳細情報へのアクセスを制限する方針を採っている。このアプローチにより、パッチ未適用バージョンでの、既知の脆弱性の悪用を阻止しようとしている。
緩和策
Chrome ユーザーに対して強く推奨されるのは、最新バージョンへと速やかに更新し、これらの深刻な脅威からシステムを保護することだ。
通常において、Chrome は自動更新されるが、設定メニューの “About Chrome” を経由して、手動で更新を確認/適用することも可能だ。
これらの深刻な脆弱性に対処する更新を怠ると、個人情報/財務データなどを狙う高度なサイバー攻撃に悪用され、重大なリスクが生じるとされる。
Chrome に存在する、深刻な脆弱性に対するセキュリティ修正が提供されています。 JavaScript エンジンまわりの脆弱性が攻撃されると、甚大な被害につながる可能性があると、この記事は指摘しています。Chrome ユーザーさんは、ご注意ください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.