Chrome のゼロデイ脆弱性 CVE-2025-14174 が FIX:境界外アクセスと積極的な悪用

Google Alerts Users to Actively Exploited Chrome 0-Day Vulnerability

2025/12/11 gbhackers — Google が発表したのは、実際に悪用されている深刻なゼロデイ脆弱性に対処するための Chrome 緊急セキュリティ・アップデートである。Issue 466192044 として追跡されている、これらの脆弱性 CVE-2025-14372/CVE-2025-14373/CVE-2025-14174 は、世界中の Chrome ユーザーに差し迫った脅威をもたらすものだ。Google がリリースしたのは、Windows/Mac システム向けのパッチ適用済みバージョン 143.0.7499.109 / .110 と、Linux 向けのバージョン 143.0.7499.109 である。

このアップデートは今後数日から数週間かけて段階的に配布され、すべてのユーザーに適用される。この計画的ロールアウト方式により、安定性を確保しながら、グローバル・ユーザー・ベースでセキュリティ・パッチが優先適用される。

Google は、脆弱性 CVE-2025-14174 を悪用するエクスプロイト・コードが流通していることを確認しており、それにより今回の緊急リリースに至ったという。この脆弱性は、ANGLE における境界外メモリアクセスに起因し、ブラウザ内での任意のコード実行や異常終了 (クラッシュ) に至る恐れがある。この脆弱性は、Apple Security Engineering and Architecture (SEAR) と Google Threat Analysis Group により報告された。

CVE IDSeverityComponentReporter
CVE-2025-14372MediumPassword ManagerWeipeng Jiang (VRI)
CVE-2025-14373MediumToolbarKhalil Zhani
CVE-2025-14174 HighANGLEApple/Google

Google は、大多数のユーザーがセキュリティ修正を受け取るまで、この脆弱性に関する技術的詳細を非公開としている。これは古いバージョンを使用しているユーザーを保護するための標準措置である。

この脆弱性は悪用が確認されているため、パッチ未適用システムは危険である。

2025年12月のアップデートには 3つのセキュリティ修正が含まれる。実際に悪用されているゼロデイ脆弱性 CVE-2025-14174 に加えて、2つの脆弱性が修正されている。

CVE-2025-14372 (深刻度:Medium) は、Chrome パスワード・マネージャーにおけるメモリ解放後使用の脆弱性である。この脆弱性は VRI のセキュリティ研究者 Weipeng Jiang により発見され、11月14日に報告された。CVE-2025-14373 (深刻度:Medium) は、ツールバー・コンポーネントの不適切な実装に起因する脆弱性であり、Khalil Zhani により発見され、11月18日に報告された。

これらの脆弱性の特定に貢献したセキュリティ研究者は、Google のバグ報奨金プログラムから表彰され、報奨金を受け取った。

Google は、AddressSanitizer/MemorySanitizer/Control Flow Integrity などの高度なツールを使用し、脆弱性が本番環境に到達する前に検出するための、階層化されたセキュリティ検出アプローチを重視している。これらの予防措置は、開発サイクル全体を通じて Chrome のセキュリティ維持に寄与する。

ユーザーに対して強く推奨するのは、Settings > About Chrome にアクセスして自動更新を開始し、Chrome を直ちに更新することだ。パッチ適用が遅れると、システムは潜在的な悪用に対して脆弱となる。

複数の Chrome インスタンスを管理する組織は、このセキュリティ・アップデートをインフラ全体に優先的に導入し、積極的に悪用されている脆弱性によるリスクを軽減する必要がある。

Chrome の脆弱性 CVE-2025-14174 は、ANGLE コンポーネントで境界外メモリアクセスに起因しています。この種類の問題を悪用する脅威アクターたちは、ブラウザ内での任意のコード実行やシステムの異常終了を可能にするとされます。また、この脆弱性は既に悪用が確認されているため、Google は通常のアップデートよりも緊急性の高い対応を取っています。他の2件の脆弱性 CVE-2025-14372/CVE-2025-14373 の深刻度は Medium ですが、こちらもセキュリティを強化するために同時に修正されています。ご利用のユーザーさんは、のアップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。