Chrome Security Update Fixes Remote Code Execution Flaws
2025/12/17 gbhackers — Google が発表したのは、Chrome ブラウザに存在する脆弱性 CVE-2025-14765/CVE-2025-14766 を修正する緊急セキュリティ・アップデートのリリースである。これらの脆弱性の深刻度は High であり、リモート・コード実行 (RCE) 攻撃につながる可能性があるとされている。Stable チャンネル・アップデートとして、Windows/Mac/Linux ユーザー向けにバージョン 143.0.7499.146/.147 がリリースされている。このアップデートで修正された脆弱性はいずれも、外部のセキュリティ研究者により報告されたものである。
修正された深刻な脆弱性
1件目の脆弱性 CVE-2025-14765 は、Web GPU における解放後メモリ使用 (use-after-free) のバグである。この問題は、すでに解放されたメモリ領域にプログラムがアクセスすることで発生し、攻撃者による任意のコード実行の可能性がある。この脆弱性は、匿名の研究者が 2025年9月30日に報告したものであり、この発見に対して Google は $10,000 の報奨金を支払っている。
2件目の脆弱性 CVE-2025-14766 は、V8 JavaScript エンジンにおける境界外 Read/Write の問題である。この脆弱性を悪用する攻撃者は、割り当てられたメモリ境界を超えたデータの操作が可能となり、コード実行や情報漏洩を引き起こすリスクに至る。この脆弱性は、セキュリティ研究者の Shaheen Fazim により 2025年12月8日に報告されたものであるが、現時点で報奨金の金額は未定である。
| CVE ID | Severity | Vulnerability Type | Component | Reporter | Report Date | Reward |
| CVE-2025-14765 | High | Use after free | WebGPU | Anonymous | September 30, 2025 | $10,000 |
| CVE-2025-14766 | High | Out of bounds read and write | V8 | Shaheen Fazim | December 8, 2025 | TBD |
Chrome ユーザーにとって必要なことは、ブラウザを直ちに更新し、潜在的な悪用から保護することである。通常、Chrome は自動的に更新されるが、その設定メニューからも更新の有無を確認できる。
Google は、標準的な責任ある情報開示の慣行に従い、多くのユーザーがセキュリティパッチを適用するまで、詳細なバグ情報へのアクセスを制限している。なお、Google では、AddressSanitizer/MemorySanitizer/libFuzzer といった高度な検出ツールにより、開発サイクル中に脆弱性を検出することで、バグが Stable リリースに混入することを防いでいる。
Google Chrome で発見された問題は、ブラウザ内の特定の機能におけるメモリ管理の不備に起因します。1つ目は、WebGPU という描画機能において、すでに使い終わったはずのメモリ領域にプログラムがアクセスしてしまう不具合です。2つ目は、V8 という JavaScript エンジンが、許可されていないメモリ領域で、Read/Write を可能にしてしまう脆弱性です。これらの弱点が悪用されると、リモート・コード実行などに至る恐れがあります。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.