Chrome Security Update Patches Critical Remote Code Execution Vulnerability
2025/09/10 CyberSecurityNews — Google がリリースしたのは、Chrome の深刻な脆弱性 CVE-2025-10200/CVE-2025-10201 を修正する、緊急セキュリティ・アップデートである。この脆弱性を悪用する攻撃者は、リモートから任意のコードを実行できるため、ユーザーに対して強く推奨されるのは、Chrome ブラウザの速やかなアップデートとなる。Chrome の Stable チャンネルで提供される最新バージョンは、Windows 版の 140.0.7339.127/.128、Mac 版の 140.0.7339.132/.133/Linux 版の 140.0.7339.127 となる。
現時点において、このアップデートは段階的に展開中であり、今後の数日から数週の間に、すべてのユーザーに提供される予定である。先日にも Google は、複数のセキュリティ問題を修正した Chrome 140 をリリースしているが、このパッチは、それに続くものである。
| CVE ID | Severity | Description | Affected Component | Bug Bounty |
|---|---|---|---|---|
| CVE-2025-10200 | Critical | Use-after-free | Serviceworker | $43,000 |
| CVE-2025-10201 | High | Inappropriate implementation | Mojo | $30,000 |
深刻な Use-after-free 脆弱性
今回のアップデートは、2つの深刻なセキュリティ欠陥を修正するものだ。最も危険な脆弱性 CVE-2025-10200 は、Serviceworker コンポーネントにおける解放後メモリ使用 (use-after-free) バグである。この use-after-free の脆弱性は、プログラムがメモリの割り当てを解除した後に、その領域を利用しようとする際に発生し、クラッシュ/データ破損などを引き起こし、最悪の場合には任意のコード実行につながる可能性がある。
悪意の Web ページを作成する攻撃者は、それにユーザーがアクセスする際に、被害者のシステム上で任意のコードを実行できる。この脆弱性は、セキュリティ研究者 Looben Yang により 2025年8月22日に報告された。その深刻さを認めた Google は、彼に対して $43,000 のバグ報奨金を授与した。
深刻な Mojo 実装の脆弱性
2つ目の修正対象は脆弱性 CVE-2025-10201 であり、Mojo における不適切な実装に起因するものだ。Mojo とは、Chrome を支える OSS プロジェクト Chromium 内で、プロセス間通信に使用されるランタイム・ライブラリのコレクションのことである。
この脆弱性により、ブラウザのサンドボックスが侵害される可能性があり、きわめて危険なものである。サンドボックスとは、プロセスを分離することで、脆弱性の悪用によるシステムへの影響を防ぐ重要なセキュリティ機能である。
脆弱性 CVE-2025-10201 は、Sahan Fernando と匿名の研究者により、2025年8月18日に報告された。彼らに対しては、$30,000 の報奨金が授与された。
緩和策
Google はアップデートを段階的に展開しているが、ユーザーは “設定” > “Google Chrome について” へ移動し、手動でのアップデートの確認/適用が可能である。この操作により、ブラウザは最新バージョンを自動的にスキャンし、アップデート完了のための再起動を促す。
また、いつものように Google は、大多数のユーザーがパッチを適用する前に、攻撃者がエクスプロイトを開発するのを防ぐために、バグに関する詳細情報へのアクセスを制限している。それが示唆するのは、セキュリティ・アップデートが提供され次第、早急に適用することの重要性である。
Chrome に、2つの深刻な脆弱性が発見されました。ひとつは Serviceworker コンポーネントにおける use-after-free バグであり、クラッシュや任意コード実行につながる危険性があります。もうひとつは、Mojo の実装上の不備による脆弱性です。Mojo はプロセス間通信を担う仕組みであり、不適切な実装によるサンドボックス侵害が生じ、きわめて深刻なセキュリティ上のリスクとなります。ご利用のユーザーさんは、アップデートを お急ぎください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.