Multiple Chrome High-Severity Vulnerabilities Let Attackers Execute Arbitrary Code
2025/08/13 CyberSecurityNews — Google が公表したのは、Chrome に存在する5件の脆弱性を修正する重要なセキュリティアップデートである。この更新には、Windows/Mac/Linux 向けの Stable チャネル・アップデートが含まれ、Windows/Mac にはバージョン 139.0.7258.127/.128 が、Linux にはバージョン 139.0.7258.127 が提供されている。このアップデートに取り込まれるものには、影響を受けるシステム上での任意のコード実行にいたる、高深刻度の脆弱性の修正がある。この脆弱性が悪用されると、ユーザー・データおよびシステム整合性に重大なリスクを生じるとされる。
主なポイント
- Chrome へ修正された5件の脆弱性の中には、任意コード実行を可能にする3件の深刻な欠陥が含まれる。
- これらの脆弱性の影響がおよぶ範囲は、 V8 エンジンとグラフィック機能であり、悪意のコード実行を許す可能性がある。
- ユーザーに対して推奨されるのは、 [設定] > [Chrome について] から速やかにアップデートすることである。
アップデートの内容
今回のセキュリティ・アップデートは、任意のコード実行に至る可能性がある、3件の深刻な脆弱性に対応している。
- CVE-2025-8879:動画のエンコード/デコード処理を行う、libaom ライブラリに存在するヒープバッファ・オーバーフローの脆弱性である。この脆弱性を悪用する攻撃者は、メモリ境界を越えてデータを書き込み、重要情報を上書きする可能性を手にする。
- CVE-2025-8880:V8 JavaScript エンジンにおける競合状態の脆弱性である。複数プロセスからの同時アクセスにより発生する予測不能な挙動を、攻撃者は悪用できると、セキュリティ研究者の Seunghyun Lee は報告している。
- CVE-2025-8901: OpenGL ES API 呼び出しをハードウェア対応 API に変換する、ANGLE(Almost Native Graphics Layer Engine) における境界外書き込みの脆弱性である。
Chrome セキュリティ・チームが用いた検出の手法は、AddressSanitizer (メモリ破損検出)/MemorySanitizer (未初期化メモリ読み取り検出)/UndefinedBehaviorSanitizer (C/C++ コード未定義動作検出) などであり、制御フロー整合性メカニズム/libFuzzer/AFL(American Fuzzy Lop) のテスト結果を活用して、これらの脆弱性を特定している。
その他の脆弱性 (Medium) として、以下の2件が修正されている。
- CVE-2025-8881:File Picker コンポーネントの不適切な実装を修正。
- CVE-2025-8882: Aura ウィンドウニング・システムにおける。解放後メモリ使用 (use-after-free) の脆弱性を修正。解放後メモリ使用は、プログラムが解放済みメモリを使用し続けることで発生し、コード実行の可能性を伴う。
| CVE ID | Title | Severity |
| CVE-2025-8879 | Heap buffer overflow in libaom | High |
| CVE-2025-8880 | Race in V8 | High |
| CVE-2025-8901 | Out of bounds write in ANGLE | High |
| CVE-2025-8881 | Inappropriate implementation in File Picker | Medium |
| CVE-2025-8882 | Use after free in Aura | Medium |
緩和策
これらの脆弱性を悪用する攻撃者は、Chrome ブラウザのコア・コンポーネントにおけるヒープバッファ・オーバーフローや競合状態を引き起こし、ブラウザ権限で悪意のコードを実行する可能性を手にするため、深刻なセキュリティ・リスクをもたらす。
Google によると、アップデートの自動ロールアウトは、数日から数週かけて行われる。したがって、ユーザーに対して強く推奨されるのは、 [設定] > [Chrome について] からの手動更新となる。特にエンタープライズ環境で、機密データを処理している場合には、システム管理者による更新の適用が優先されるべきである。
匿名貢献者や Google の Big Sleep プロジェクトなどの、外部セキュリティ研究者たちと連携する Chrome チームは、先行して脆弱性を特定/修正し、Stable チャネルでリリースするための取り組みを継続している。
Chrome の新たな脆弱性は、主にメモリ管理や処理の競合といったプログラム内部の仕組みに起因するものです。たとえば、動画処理を担うライブラリではデータの境界を正しく管理できずにメモリ上書きが発生する可能性があり、JavaScript エンジンでは複数の処理が同時に走ることで予期しない動作が起きてしまうと、この記事は指摘しています。ご利用のユーザーさんは、速やかなアップデートを、ご検討ください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.