Chrome 143 Released With Fix for 13 Vulnerabilities that Enable Arbitrary Code Execution
2025/12/03 CyberSecurityNews — Chrome 143 の Stable チャンネルで Google がリリースしたのは、Linux 版 143.0.7499.40 および、Windows/Mac 版 143.0.7499.40/41 である。このアップデートで修正された 13 件のセキュリティ脆弱性には、任意コード実行やレンダリング・エンジンへの侵害を攻撃者に許す可能性のある、危険性の高い複数の欠陥も含まれている。
今回のリリースで修正された中で、最も深刻な脆弱性 CVE-2025-13630 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因する。この脆弱性は、セキュリティ研究者 Shreyas Penkar により報告され、$11,000 の報奨金が提供される。
タイプ・コンフュージョンとは、プログラムが特定の型で割り当てたリソースを、互換性のない別の型として扱おうとする場合に発生し、きわめて危険な脆弱性に分類されている。このブラウザ環境において V8 の脆弱性を悪用するリモートの攻撃者は、ユーザーを細工された Web サイトへ誘導し、レンダラー・サンドボックス内で任意コードを実行する可能性が高い。
また、Google Updater サービスにおける、不適切な実装に起因する脆弱性 CVE-2025-13631 も修正されている。研究者 Jota Domingos により報告され、この脆弱性には $3,000 の報奨金が設定されている。
悪用ベクターの詳細は、広範な悪用を防ぐため公開されていないが、アップデート・メカニズムに起因する脆弱性には、ホストシステム上でのマルウェアの永続性の確立および権限昇格の目的で悪用される可能性がある。
このアップデートでは、Leandro Teles により報告された DevTools の深刻な脆弱性 CVE-2025-13632 と、Google 内部で発見されたデジタル認証情報コンポーネントにおける解放後使用 (UAF:Use After Free) 型のメモリ破損バグ CVE-2025-13633 も修正されている。
UAF バグは、Chrome における典型的なメモリ安全性の問題であり、ブラウザが解放済みメモリを使用しようとした際に発生することが多く、クラッシュや潜在的な任意コード実行につながる可能性がある。
いつものように Google は、大多数のユーザーが修正版にアップデートするまで、バグ情報の詳細へのアクセスを制限している。これは標準的な運用手順であり、脅威アクターがパッチをリバース・エンジニアリングし、パッチ未適用ブラウザ向けのエクスプロイトを開発するリスクを最小限に抑えるための措置である。
以下の表は、Chrome 143 で修正された、主要な外部セキュリティ貢献をまとめたものである。
| CVE ID | Severity | Vulnerability Type | Component | Reward |
|---|---|---|---|---|
| CVE-2025-13630 | High | Type Confusion | V8 | $11,000 |
| CVE-2025-13631 | High | Inappropriate Implementation | Google Updater | $3,000 |
| CVE-2025-13632 | High | Inappropriate Implementation | DevTools | TBD |
| CVE-2025-13634 | Medium | Inappropriate Implementation | Downloads | TBD |
| CVE-2025-13635 | Low | Inappropriate Implementation | Downloads | $3,000 |
| CVE-2025-13636 | Low | Inappropriate Implementation | Split View | $1,000 |
外部からの報告に加え、Google の内部セキュリティチームは、V8 における競合状態の脆弱性 CVE-2025-13721 (Medium) や Loader コンポーネントにおける不適切なキャストの脆弱性 CVE-2025-13720 など、複数の問題を特定している。
Chrome チームは開発サイクル中に、AddressSanitizer や libFuzzer などの自動テスト・ツールを用いて、これらのメモリ関連の不具合を検出した。
Windows/Mac/Linux のユーザーには、今後の数日以内に自動アップデートが適用される予定である。手動でアップデートする場合は、Chrome メニューから「ヘルプ」を選択し、「Google Chrome について」をクリックして、バージョン 143 を適用する必要がある。
今回の Chrome アップデートでは、V8 エンジンで発生したタイプ・コンフュージョンが深刻な問題として取り上げられています。型の扱いを誤ることで任意コード実行につながる脆弱性が修正されました。また、Updater や DevTools などの複数コンポーネントでも、実装上の不備も修正されたと、この記事は指摘しています。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.