Chrome 142 Released With Fix for 20 Vulnerabilities that Allows Malicious Code Execution
2025/10/30 CyberSecurityNews — Google は Chrome 142 を Stable チャネルに正式に導入し、Windows/Mac/Linux ユーザー向けにセキュリティ・アップデートを提供している。ロールアウトは即時開始され、今後の数日から数週間をかけて、新たに発見された脅威に対する広範な保護を展開していくという。このバージョンでは 20件の脆弱性が修正されている。これらの脆弱性の多くは、攻撃者に対してリモート・コード実行を許し、ユーザー・データやシステムの整合性への侵害にいたる可能性がある。
このアップデートは、進化するブラウザベースの攻撃への迅速な対応という Google のコミットメントを強調するものだ。
さまざまな修正とパフォーマンスの改善が、Linux 版 Chrome 142.0.7444.59/Windows 版 142.0.7444.59/60/Mac 版 142.0.7444.60 に組み込まれている。
具体的には、レンダリング/安定性/UI などが改善され、その詳細をまとめた変更ログが、Chromium のソース・リポジトリから入手できるようになっている。
新機能の詳細は、今後の Chrome/Chromium ブログで公開されるが、当面の優先事項は、悪用行為に対する防御力の強化である。
セキュリティ専門家たちが推奨するのは、リスクを迅速に軽減するための自動更新の有効化であり、それにより、パッチ未適用のブラウザがサイバー犯罪者の格好の標的となる状況を回避できるとしている。
Chrome 142 リリース – 20 件の脆弱性を修正
このアップデートでは、20 件のセキュリティ・パッチにより、広範な脆弱性が修正されている。いつものとおり、これらのバグの詳細は当初は非公開とされるが、その理由は、アクティブな悪用行為とグローバル展開を助長する可能性があるためだ。
いくつかの脆弱性は、Google の脆弱性プログラムで報奨金を獲得した外部の研究者により報告され、その他の修正は、内部監査や AddressSanitizer/libFuzzer などのファジング・ツールにより発見されている。
特に V8 JavaScript エンジンでは、タイプ混同/競合状態/不適切な実装などにより、任意のコード実行につながる可能性がある、深刻度の高い問題が数多く修正された。
メディア処理と拡張機能への取り組みも重視され、不正アクセスやポリシー回避を許す可能性のある脆弱性が修正された。深刻度の低い修正では、UI の不整合やストレージ競合への対処により永続的なリスクを防止できる。
今回のリリースに含まれる脆弱性の内訳については、以下の表を参照のこと。
| CVE ID | Severity | Description | Reporter | Bounty | Report Date |
|---|---|---|---|---|---|
| CVE-2025-12428 | High | Type Confusion in V8 | Man Yue Mo (GitHub Security Lab) | $50,000 | 2025-09-26 |
| CVE-2025-12429 | High | Inappropriate implementation in V8 | Aorui Zhang | $50,000 | 2025-10-10 |
| CVE-2025-12430 | High | Object lifecycle issue in Media | round.about | $10,000 | 2025-09-04 |
| CVE-2025-12431 | High | Inappropriate implementation in Extensions | Alesandro Ortiz | $4,000 | 2025-08-06 |
| CVE-2025-12432 | High | Race in V8 | Google Big Sleep | N/A | 2025-08-18 |
| CVE-2025-12433 | High | Inappropriate implementation in V8 | Google Big Sleep | N/A | 2025-10-07 |
| CVE-2025-12036 | High | Inappropriate implementation in V8 | Google Big Sleep | N/A | 2025-10-15 |
| CVE-2025-12434 | Medium | Race in Storage | Lijo A.T | $3,000 | 2024-04-27 |
| CVE-2025-12435 | Medium | Incorrect security UI in Omnibox | Hafiizh | $3,000 | 2025-09-21 |
| CVE-2025-12436 | Medium | Policy bypass in Extensions | Luan Herrera (@lbherrera_) | $2,000 | 2021-02-08 |
今回の修正では、PageInfo/Ozone におけるメモリ使用後エラー、V8/WebXR における境界外読み取り、Autofill/Fullscreen/SplitView における UI の問題などが含まれている。これらの脆弱性は、研究者である Umar Farooq/Wei Yuan/Khalil Zhani により報告されたものだ。
これらのバグを報告/修正した貢献者に、Google は謝意を示している。また、ファジングやサニタイズなどのためのツールを用いた社内の作業により、多数の修正が行われ、さまざまな潜在的な脆弱性が阻止されたと、同社は述べている。
フィッシングやマルウェア攻撃の増加に伴い、ブラウザの悪用も急増している。今回のリリースは、膨大な数のユーザーを擁する Chrome の地位を強化するものだ。ユーザーが行うべきことは、chrome://settings/help でアップデートを確認し、保護を維持することだ。
Chrome 142 で対処されたものは、複雑化するブラウザ基盤である V8 に関連する、タイプ混同や競合状態など実装上の問題などとなっています。拡張機能/メディア処理/UI でも境界チェックや状態管理の細かな不整合が重なり、任意コード実行に至り得るのが怖いところです。ご利用のユーザーさんは、速やかなアップデートを、ご検討ください。よろしければ、Chrome で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.