Chrome High-Severity Vulnerabilities Allows Memory Manipulation and Arbitrary Code Execution
2025/07/30 CyberSecurityNews — Google ga公表したのは、Chrome ブラウザの複数の脆弱性を修正する、緊急セキュリティ・アップデートである。その中には、攻撃者によるメモリ操作を許し、ユーザー・システム上での任意のコード実行を引き起こす、深刻度の高い脆弱性 CVE-2025-8292 も含まれている。最新版の Chrome 138 である、Linux 版 138.0.7204.183 および、Windows/macOS 版 138.0.7204.183/.184 において、これらの深刻な脆弱性は修正されている。すべてのユーザーに対して Google が強く推奨するのは、最新の Chrome へ向けた速やかなアップデートである。
今回のアップデートで修正された最も深刻な脆弱性は、Chrome の MediaStream コンポーネントに存在する、解放後メモリ使用 (use-after-free) の欠陥であり、CVE-2025-8292 が採番されている。
解放後メモリ使用の脆弱性とコード実行
この種類のメモリ破損の脆弱性を悪用するリモート攻撃者は、細工された HTML ページを介して開始できるため、きわめて高いリスクが生じている。
この脆弱性の悪用に成功した攻撃者は、対象システムへの侵害により、ブラウザ・クラッシュ/悪意のコード実行などを引き起こせる。その結果として、悪意のプログラムのインストール/データの窃取や改竄/完全な権限を有する新規ユーザー・アカウントの作成を可能にする。
2025年6月19日に、ある匿名のセキュリティ研究者が Google に対して脆弱性 CVE-2025-8292 を報告し、Chrome の脆弱性プログラムを通じて $8,000 の報奨金を受領した。
いつものとおり Google は、パッチ適用の猶予期間をユーザーに与え、脆弱性に関する詳細情報へのアクセスを制限しているが、その目的は、積極的な悪用の防止にある。
このアップデートは、Chrome バージョン 138 向けに提供される、一連のセキュリティ・パッチの一部である。2025年7月初旬にも Google は、積極的に悪用されていたゼロデイ脆弱性 CVE-2025-6558 などに対処している。
この脆弱性 CVE-2025-6558 は ANGLE/GPU コンポーネントにおける入力検証の不備に起因しており、サンドボックス回避のリスクも内包していた。
Chrome バージョン 138 に関しては、2025年6月から7月にかけて、V8 JavaScript エンジンにおけるタイプコンヒュージョンやメモリ関連バグなどの、多様なセキュリティホールに対するアップデートが発生している。
Google のセキュリティ・チームは、内部監査やファジングなどのセキュリティ対策を通じて、脆弱性の検出/修正を継続的に実施している。また、AddressSanitizer や MemorySanitizer といったツールを活用し、メモリ・エラーの悪用に先行した修正に取り組んでいる。
Chrome の最新バージョンは、今後の数日から数週をかけて、段階的にロールアウトされる予定である。ユーザーは、ブラウザのメニューにおいて、“Help” から “About Google Chrome” へと移動することで、使用中の Chrome のバージョンを確認できる。
Chrome の脆弱性 CVE-2025-8292 は、解放後メモリ使用 (use-after-free) というメモリ管理ミスに起因するものです。一度解放したメモリ領域に、再びアクセスしてしまうバグであり、悪用されると不正なコード実行にもつながると、この記事は指摘しています。Chrome ユーザーさんは、速やかにアップデートしてください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.