Chrome Use After Free Vulnerability Let Attackers Execute Arbitrary Code
2025/10/15 CyberSecurityNews — Google が公開したのは、Chrome ブラウザの脆弱性に対する緊急セキュリティ・アップデートである。このアップデートは、Chrome の深刻な解放後メモリ使用 (use-after-free) の脆弱性 CVE-2025-11756 を修正するものだ。この脆弱性を悪用する攻撃者は、ユーザーのシステム上で任意のコードを実行し得るという。
今回のパッチに含まれるのは、Linux 版 141.0.7390.107 と、Windows/macOS 版 141.0.7390.107/.108 である。今週から、Stable チャンネルへの展開が開始され、詳細な変更内容はリリース・ノートに記載されている。
このアップデートは、今後の数日から数週間で大多数のユーザーに提供される見込みである。
Chrome の解放後メモリ使用 (use-after-free) の脆弱性
悪意の Web サイトやフィッシング攻撃からユーザーを保護する、コア・コンポーネント Chrome のセーフ・ブラウジング機能に、この脆弱性 CVE-2025-11756 は存在する。
この脆弱性は、2025年9月25日に独立系の研究者 as nine により発見され、Google の脆弱性プログラムから $ 7,000の報奨金が支払われている。
解放後メモリ使用 (use-after-free) エラーとは、すでに解放されたメモリをソフトウェアが参照し続けることで発生し、クラッシュ/データ破損などにつながる可能性がある。今回のケースでは、バグを悪用する攻撃者が、悪意のコードを挿入/実行し、セキュリティ・サンドボックスを迂回してブラウザ環境全体を侵害する恐れがある。
Google は、CVE-2025-11756 を深刻度 High と分類し、ユーザー操作を必要とせずに、リモートから悪用される可能性があると強調している。不正に改ざんされた Web ページを閲覧するだけで、攻撃が発生し得る点が懸念されるという。
現時点において、大規模な悪用は報告されていない。いつものように Google は、詳細情報が公開される前に大多数のユーザーが更新を完了できるよう、バグの詳細を公表していない。この対応は、Chrome のセキュリティ対策に沿ったものであり、パッチが普及するまで完全な情報の開示が遅延されることが多い。
この修正の背景には、Google の検出ツール群 (AddressSanitizer/MemorySanitizer/libFuzzer) の強化がある。これらのツールにより、メモリ関連のバグを特定しやすくなるという。
Google は、この脆弱性を発見した外部研究者に対して謝意を表している。
ユーザーにとって必要なことは、ブラウザの設定メニューまたは自動更新機能を通じて、Chrome を速やかに更新することだ。ブラウザ・ベースの脅威が進化する中、今回のバグが浮き彫りにするのは、高度な攻撃防御におけるタイムリーなパッチ適用の重要性である。
今回の緊急パッチは、Chrome のセーフ・ブラウジングに存在する use-after-free に対処するものです。外部入力を扱うコア・コンポーネントで境界検査が不十分だった点と、ユーザー操作を必要としないリモートからの悪用が可能な点が懸念されます。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.