Chrome Emergency Update to Patch Multiple Vulnerabilities that Enable Remote Code Execution
2025/11/06 CyberSecurityNews — Google が公開した Chrome ブラウザ向けの緊急セキュリティ・パッチは、リモート・コード実行などの5件の脆弱性を修正するものだ。このアップデートで修正される深刻な欠陥は、WebGPU/V8 JavaScript エンジンなどのコア・コンポーネントに存在するものであり、対象となるバージョンは Windows 版 142.0.7444.134/.135/macOS 版 142.0.7444.135/Linux 版 142.0.7444.134 である。
近年、ブラウザのセキュリティ監視が強化されているが、GPU アクセラレーションを利用する Web アプリ向け API の WebGPU が、高度な攻撃の主要な標的となっている。このような状況の中で、今回のパッチは公開されている。
こうしたコンポーネントにリモート・コード実行の脆弱性が存在する場合には、悪意の Web サイトがユーザーを侵害済みのページに誘導するだけで、システムを乗っ取ることが可能となる。
Google が強調するのは、これらの修正プログラムが外部研究者との協力により開発されたことであり、問題の広範な拡散を防ぐことにつながったことだ。なお、このアップデートは、今後の数日から数週間かけて段階的に展開され、世界中の数百万台のデバイスで安定性が確保される予定である。
Chrome 142 で修正された脆弱性
5件のセキュリティ修正のうちの3件 (High) は、WebGPU における境界外書き込みの脆弱性と、V8/Views における不適切な実装の脆弱性であり、いずれも深刻なものとなる。これらの欠陥が修正されない場合には、メモリ破損が引き起こされ、攻撃者による任意のコード実行/機密データの窃取/マルウェアのインストールなどにつながる可能性がある。残りの2件は、アドレスバー (Omnibox) に影響を及ぼす Medium レベルの脆弱性であり、フィッシングやインジェクションのリスクにユーザーをさらす可能性がある。
これらの脆弱性の CVE ID/深刻度/影響を受けるコンポーネント/技術的な詳細は、以下の通りである:
| CVE ID | Severity | Affected Component | Description and Impact | CVSS v3.1 Score (Estimated) | Reported By | Date Reported |
|---|---|---|---|---|---|---|
| CVE-2025-12725 | High | WebGPU | Out-of-bounds write flaw allowing memory corruption and remote code execution via malicious web content. Affects rendering of GPU-accelerated graphics in web apps. | 8.8 (High) | Anonymous | 2025-09-09 |
| CVE-2025-12726 | High | Views | Inappropriate implementation leading to UI manipulation and potential remote code execution through crafted web pages. Impacts browser’s visual rendering engine. | 8.1 (High) | Alesandro Ortiz | 2025-09-25 |
| CVE-2025-12727 | High | V8 | Inappropriate implementation in JavaScript engine enabling heap corruption and remote code execution. Exploitable via specially crafted scripts on websites. | 8.8 (High) | 303f06e3 | 2025-10-23 |
| CVE-2025-12728 | Medium | Omnibox | Inappropriate implementation allowing address bar spoofing, which could facilitate phishing attacks. No direct code execution but aids social engineering. | 6.5 (Medium) | Hafiizh | 2025-10-16 |
| CVE-2025-12729 | Medium | Omnibox | Similar implementation flaw in address bar, enabling URL manipulation for deceptive user interfaces. | 6.1 (Medium) | Khalil Zhani | 2025-10-23 |
これらの CVSS スコアの推定値は、類似するブラウザの脆弱性への一般的な評価と一致しており、深刻度の高い問題への緊急の対処が必要とされる。いつものように Google は、大多数のユーザーがアップデートを適用するまで、バグの詳細情報を非公開としている。その理由は、エクスプロイト開発を抑止するためとされる。
このアップデートが浮き彫りにするのは、WebGPU などの最新 Web 標準に内在する脆弱性の深刻さである。それが示すのは、ゲームや AI アプリの性能向上と引き換えに、攻撃対象領域の拡大という新たなリスクが生じていることだ。
Chrome の JavaScript 実行を支える V8 は、Web エコシステム全体に広く普及していることから、依然として攻撃者の主要な標的となっている。したがって、Google の AddressSanitizer/libFuzzer などのセキュリティ・ツールが、開発段階における脆弱性検出において重要な役割を担い、Chromium パイプラインにおける予防的なセキュリティ対策の有効性を高めている。
サイバー脅威が進化する中、この脆弱性が再確認させるのは、デジタル環境を保護するためにはタイムリーなパッチ適用が重要になることだ。
Chrome の中核部分である WebGPU や V8 JavaScript エンジンに存在する、深刻な脆弱性が修正されました。それらの問題の原因は、メモリ操作や入力処理の不備による境界外書き込みや不適切な実装にあります。したがって、悪意の Web コンテンツを介したコード実行やデータ窃取につながる恐れがあります。特に WebGPU のような高性能な API は、性能向上と引き換えに攻撃対象領域を広げていると、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Chrome で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.