Chrome – IoT OT Security News

Google Chrome のゼロデイ脆弱性 CVE-2026-2441：PoC 公開と実環境での悪用の確認

PoC Released for Critical Chrome 0-day Vulnerability Exploited in the Wild

2026/02/20 CyberSecurityNews — Google が公開したのは、Chrome の Blink CSS エンジンに存在する深刻な use-after-free のゼロデイ脆弱性 CVE-2026-2441 に対する Proof-of-Concept (PoC) エクスプロイトの情報である。Google は、この脆弱性が実環境で積極的に悪用されていることを確認している。この欠陥は、2026年2月11日にセキュリティ研究者 Shaheen Fazim により報告されたものであり、その 2 日後に Google は緊急パッチで対応している。 2026年における、最初の Chrome ゼロデイ脆弱性は、Chrome の Blink CSS エンジン内の CSSFontFeatureValuesMap コンポーネントに存在する。

CISA KEV 警告 26/02/17：Chrome／ThreatSonar／Zimbra／Windows の脆弱性を登録

CISA Flags Four Security Flaws Under Active Exploitation in Latest KEV Update

2026/02/18 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、実環境におけるアクティブな悪用の証拠を根拠として、Known Exploited Vulnerabilities (KEV) カタログに 4 件のセキュリティ欠陥を追加した。それらの脆弱性は、Google Chrome／TeamT5 ThreatSonar Anti-Ransomware／Synacor Zimbra Collaboration Suite／Microsoft Windows Video ActiveX Control に存在するものだ。

Chrome 145 アップデート：コード実行などを引き起こす複数の深刻な脆弱性に対応

Chrome Security Update – Patch for Vulnerabilities that Enables Code Execution Attacks

2026/02/12 CyberSecurityNews — Google が公表したのは、ユーザー・システム上で悪意のコード実行を引き起こす 11 件のセキュリティ脆弱性を修正した Chrome 145 を、Windows／Mac／Linux 向けの Stable チャネルでリリースしたことである。このアップデートは、今後の数週間をかけて順次展開されるが、複数の深刻な修正を含むため、即時の対応が推奨される。最も深刻な脆弱性 CVE-2026-2313 は、CSS における use-after-free 脆弱性であり、発見者には $8,000 の報奨金が支払われた。

Chrome エクステンションの包括的な調査：287 件の悪意と 3,700万件のユーザーへの影響が判明

287 Malicious Chrome Extensions Steal Browsing Data from 37.4 Million Users

2026/02/12 gbhackers — Chrome エクステンションに対する新たなセキュリティ調査により、ユーザーの閲覧データがリモートサーバへと密かに送信される状況が明らかになった。問題とされる Chrome エクステンションは 287 件となり、推定で 3,740 万件のインストールに影響が生じるという。これはグローバルでの Chrome ユーザー・ベースの約 1% に相当する。このスパイ挙動を検出するための、大規模な自動化テスト・パイプラインが、研究チームにより構築された。

Google Chrome の脆弱性 CVE-2026-1861／1862 が FIX：任意コード実行とシステム・クラッシュの恐れ

Chrome Vulnerabilities Let Attackers Execute Arbitrary Code and Crash System

2026/02/04 CyberSecurityNews — Google は Chrome の 2 件の深刻な脆弱性 CVE-2026-1861／CVE-2026-1862 (High) に対処し、Stable チャネルでセキュリティ更新をリリースした。これらの脆弱性を悪用する脅威アクターは、潜在的な任意コード実行 (ACE) ／サービス拒否 (DoS) 攻撃にユーザーを晒す可能性がある。このアップデートにより、Chrome のバージョンは Windows／macOS 144.0.7559.132／.133、Linux 144.0.7559.132 へ引き上げられている。

Chrome の脆弱性 CVE-2026-1504 が FIX：Background Fetch API の欠陥を修正

Chrome Security Update Fixes Critical Vulnerability in Background Fetch API

2026/01/28 gbhackers — Google が公開したのは、セキュリティ上のリスクをもたらす可能性のある、Background Fetch API の深刻な脆弱性 CVE-2026-1504 に対処する、デスクトップ向け Chrome Stable Channel のアップデートである。最新の Chrome バージョンは、Windows および macOS 向けが 144.0.7559.109／144.0.7559.110、Linux 向けが 144.0.7559.109 である。すでに段階的な配信が開始されており、今後の数日から数週間かけて提供されていく。

Chrome 144 の脆弱性 CVE-2026-1220 が FIX：V8 JavaScript エンジンの競合状態

Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw

2026/01/21 gbhackers — Google は、Windows／Mac／Linux プラットフォーム向けの Chrome 144.0.7559.96／.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。

Chrome 侵害キャンペーン：複数の悪意の Extension で持続的な連携攻撃を展開

Five Chrome Extensions Used to Hijack Enterprise HR and ERP Systems

2026/01/19 gbhackers — Socket の Threat Research Team は、Workday／NetSuite／SAP SuccessFactors などのエンタープライズ向け HR／ERP プラットフォームを標的とする、組織的かつ連携型の Chrome エクステンションを用いた一連の攻撃活動を発見した。確認された 5 件の悪意のエクステンションは、合計で 2,300 回以上インストールされており、相互に連携することでセッション・トークンの窃取／セキュリティ制御の遮断／セッション・ハイジャックを通じた完全なアカウントの乗っ取りを可能にしている。

Chrome 144 がリリース：V8 JavaScript Engine に関連する脆弱性などが FIX

Chrome 144 Released With Fix for 10 Vulnerabilities in V8 JavaScript Engine

2026/01/14 CyberSecurityNews — Google は、Windows／Mac／Linux 向けの安定版チャンネルに Chrome 144 を正式にリリースした。このバージョンでは、V8 JavaScript エンジンを中心とする 10 件のセキュリティ脆弱性が修正されている。Linux 向けには Chrome バージョン 144.0.7559.59 が提供され、Windows／Mac 向けには Chrome バージョン 144.0.7559.59/60 が提供される。いずれも複数のセキュリティ強化が行われており、修正された脆弱性の 6 件は V8 JavaScript エンジンに直接影響する。ロールアウトは、今後の数日から数週間をかけて段階的にユーザーに提供される予定だ。

MEXC API Automator という悪意の Chrome エクステンション：仮想通貨取引所へのアクセスを窃取

Malicious Chrome Extension Steals Wallet Login Credentials and Enables Automated Trading

2026/01/13 CyberSecurityNews — MEXC API Automator と呼ばれる悪意の Chrome エクステンションは、ブラウザ・アドオンに対する信頼を悪用し、MEXC ユーザーから仮想通貨取引所へのアクセスを窃取する。このエクステンションは、トレーディングと API キー作成を自動化するツールを装い、新たに作成された API キーを密かに乗っ取る。結果として、通常のブラウザ・セッションがアカウント乗っ取りのチャネルへと変貌する。

Chrome WebView の脆弱性 CVE-2026-0628 が FIX：セキュリティ制限回避の恐れ

Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions

2026/01/07 CyberSecurityNews — Google が公表したのは、WebView タグ・コンポーネントに存在する重大度の高い脆弱性 CVE-2026-0628 に対処するための、Chrome ブラウザ緊急セキュリティ・アップデートの情報である。この脆弱性を悪用する攻撃者は、重要なセキュリティ制限を回避する可能性があるため、ユーザーにとって深刻なリスクとなる。このアップデートにより、Windows／macOS 向けの Chrome バージョン 143.0.7499.192／.193 と、Linux 向けの Chrome バージョン 143.0.7499.192 が Stable チャンネルを通じて提供される。更新は、今後の数日から数週間をかけて段階的に展開される予定である。

ChatGPT と DeepSeek の会話を窃取する２つの Chrome エクステンション：90 万人以上のユーザーに影響

Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users

2026/01/06 TheHackerNews — Chrome Web Store で配布されている２つの悪意あるエクステンションを、サイバー・セキュリティ研究者が発見した。これらのエクステンションは、OpenAI ChatGPT および DeepSeek の会話データに加え、閲覧データを窃取し、攻撃者が管理するサーバに送信するよう設計されている。これらのエクステンションは、合計で 90 万人以上のユーザーに拡散している。

Claude Chrome エクステンションの懸念：リクエストとログの読み取りや機密情報の漏洩

Researchers Warn of Data Exposure Risks in Claude Chrome Extension

2026/01/05 hackread — 2025年12月18日に Anthropic が公開したのは、Claude Chrome エクステンションのベータ版である。このエクステンション (拡張機能) は、AI がユーザーに代わって Web サイトを閲覧／操作し、高い利便性を提供するものである。その一方で、従来の Web セキュリティ・モデルでは対処できない深刻なリスクが存在すると、Zenity Labs の最新分析が指摘している。

TrustWallet の Chrome エクステンション 2.68.0 に侵害：$7 M 以上が流出

TrustWallet Chrome Extension Hacked – Users Reporting Millions in Losses

2025/12/26 CyberSecurityNews — 2025年12月24日にリリースされた、Chrome ブラウザ用の Trust Wallet エクステンションにおいてセキュリティ侵害が発生し、多数のユーザーのウォレットから $7 million (700万ドル) 以上が流出した。このインシデントを X 上で最初に報告したのは、ブロックチェーン調査員 ZachXBT である。同氏によると、ユーザーが当該エクステンションのバージョン 2.68.0 を操作した直後から、影響を受けるウォレット・アドレスからの不正な資金流出が急増したという。

正規 VPN を装う Phantom Shuttle Chrome エクステンション：ユーザー・トラフィックから認証情報を窃取

Malicious Chrome Extensions as VPN Intercept User Traffic to Steal Credentials

2025/12/23 CyberSecurityNews — Phantom Shuttle と命名された 2 つの悪意の Chrome エクステンションが、正規の VPN サービスを装いながら数千人のユーザーを欺き、Web トラフィックを密かに傍受している。これにより窃取されるのは機密性の高いログイン情報である。これらの悪質なエクステンションは 2017年から活動しており、Chrome Web ストアを通じて 2,180 人以上のユーザーに配布されてきた。現在も検知されないまま、動作を継続している可能性が高い。

Google Chrome の脆弱性 CVE-2025-14765／14766 が FIX：Web GPU と V8 の問題による RCE

Chrome Security Update Fixes Remote Code Execution Flaws

2025/12/17 gbhackers — Google が発表したのは、Chrome ブラウザに存在する脆弱性 CVE-2025-14765／CVE-2025-14766 を修正する緊急セキュリティ・アップデートのリリースである。これらの脆弱性の深刻度は High であり、リモート・コード実行 (RCE) 攻撃につながる可能性があるとされている。Stable チャンネル・アップデートとして、Windows／Mac／Linux ユーザー向けにバージョン 143.0.7499.146／.147 がリリースされている。このアップデートで修正された脆弱性はいずれも、外部のセキュリティ研究者により報告されたものである。

Chrome のゼロデイ脆弱性 CVE-2025-14174 が FIX：境界外アクセスと積極的な悪用

Google Alerts Users to Actively Exploited Chrome 0-Day Vulnerability

2025/12/11 gbhackers — Google が発表したのは、実際に悪用されている深刻なゼロデイ脆弱性に対処するための Chrome 緊急セキュリティ・アップデートである。Issue 466192044 として追跡されている、これらの脆弱性 CVE-2025-14372／CVE-2025-14373／CVE-2025-14174 は、世界中の Chrome ユーザーに差し迫った脅威をもたらすものだ。Google がリリースしたのは、Windows／Mac システム向けのパッチ適用済みバージョン 143.0.7499.109 / .110 と、Linux 向けのバージョン 143.0.7499.109 である。

Gemini の AI ブラウジングを保護：Chrome に追加された新たなセキュリティ・レイヤーとは？

Google Chrome adds new security layer for Gemini AI agentic browsing

2025/12/09 BleepingComputer — Google が公開したのは、”User Alignment Critic” と呼ばれる新しい防御レイヤーを、Chrome ブラウザに導入する計画である。それにより、Gemini を搭載する今後のエージェント型 AI ブラウジング機能が保護されるという。エージェント型ブラウジングとは、自律的な AI エージェントがユーザーに代わって、Web 上で複数のタスクを実行する新しいモードである。具体的には、サイトのナビゲーション／コンテンツの読み取り／ボタンのクリック／フォームへの入力といった一連のアクションの実行などが自動的に実行される。

Chrome 143 の複数の脆弱性が FIX：深刻な V8 タイプ・コンフュージョンや UAF バグなどに対応

Chrome 143 Released With Fix for 13 Vulnerabilities that Enable Arbitrary Code Execution

2025/12/03 CyberSecurityNews — Chrome 143 の Stable チャンネルで Google がリリースしたのは、Linux 版 143.0.7499.40 および、Windows／Mac 版 143.0.7499.40/41 である。このアップデートで修正された 13 件のセキュリティ脆弱性には、任意コード実行やレンダリング・エンジンへの侵害を攻撃者に許す可能性のある、危険性の高い複数の欠陥も含まれている。

Chrome／Edge のエクステンションを悪用：430万人を感染させた ShadyPanda のキャンペーンとは？

4.3 Million Chrome and Edge Users Hacked in 7-Year ShadyPanda Malware Campaign

2025/12/01 CyberSecurityNews — ShadyPanda という高度な攻撃グループが、７年間にわたり Chrome および Edge の 430万人のユーザーをマルウェアに感染させてきたという。この攻撃グループは、ブラウザ・マーケットプレイスへの信頼を悪用し、おすすめ／検証済みと表示されたエクステンションを武器化することで、従来のセキュリティ・アラームにより検知されることなく、リモート・コード実行 (RCE) バックドアおよび大規模スパイウェア攻撃を展開してきた。

Crypto Copilot という名の悪意の Chrome Extension：Solana 取引で不正な手数料を窃取

Chrome Extension Caught Injecting Hidden Solana Transfer Fees Into Raydium Swaps

2025/11/26 TheHackerNews — Chrome Web Store に存在する新たな悪意のエクステンションを、サイバー・セキュリティ研究者たちが発見した。このエクステンションは、スワップ取引に Solana の送金を巧妙に挿入し、攻撃者が管理する仮想通貨ウォレットへと資金を送金する機能を備えている。

CISA KEV 警告 25/11/19：Google Chrome のゼロデイ CVE-2025-13223 を登録

CISA Warns of Google Chrome 0-Day Vulnerability Exploited in Attacks

2025/11/20 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発令したのは、Google Chrome のゼロデイ脆弱性に関する緊急アラートである。この脆弱性 CVE-2025-13223 は Chromium V8 JavaScript エンジンの欠陥であり、脅威アクターにより積極的に悪用され、世界中のユーザーにリモート・コード実行やデータ侵害の恐れが生じている。

Chrome のゼロデイ脆弱性 CVE-2025-13223／13224 が FIX：積極的な悪用を観測

Chrome Type Confusion Zero-Day Vulnerability Actively Exploited in the Wild

2025/11/18 CyberSecurityNews — Google がリリースした Chrome ブラウザの緊急アップデートは、実際に悪用されているゼロデイ脆弱性 CVE-2025-13223／CVE-2025-13224 に対処するためのものだ。同社はユーザーに対して、直ちにアップデートを行い、高度な攻撃者からのリスクを軽減すべきだと呼びかけている。Windows／Linux 向けの Chrome 安定版 142.0.7444.175 と、Mac 向けの Chrome 安定版 142.0.7444.176 が公開されている。このパッチは、V8 JavaScript エンジンにおける深刻度の高いタイプ・コンフュージョンのバグ２件を修正するものだ。

Google Chrome の脆弱性 CVE-2025-13042 が FIX：V8 JavaScript エンジンの悪用が可能

Chrome Patches High-severity Implementation Vulnerability in V8 JavaScript engine

2025/11/12 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザの脆弱性 CVE-2025-13042 に対処するための Chrome バージョン 142.0.7444.162／.163 である。Stable チャネルのアップデートは、今後の数日から数週間をかけて Windows／Mac／Linux プラットフォームに展開される。

Chrome 142 の複数の脆弱性が FIX：WebGPU／V8／Views などに対する緊急パッチ

Chrome Emergency Update to Patch Multiple Vulnerabilities that Enable Remote Code Execution

2025/11/06 CyberSecurityNews — Google が公開した Chrome ブラウザ向けの緊急セキュリティ・パッチは、リモート・コード実行などの５件の脆弱性を修正するものだ。このアップデートで修正される深刻な欠陥は、WebGPU／V8 JavaScript エンジンなどのコア・コンポーネントに存在するものであり、対象となるバージョンは Windows 版 142.0.7444.134/.135／macOS 版 142.0.7444.135／Linux 版 142.0.7444.134 である。

Chromium の脆弱性 Brash：悪意の URL をクリックするだけで発動する強力な攻撃とは？

New “Brash” Exploit Crashes Chromium Browsers Instantly with a Single Malicious URL

2025/10/30 TheHackerNews — Chromium の Blink レンダリング・エンジンで発見された深刻な脆弱性が悪用されると、多くの Chromium ベースのブラウザが短時間でクラッシュするという。この脆弱性の詳細は、セキュリティ研究者である Jose Pino により発見／報告されたものであり、Brash というコードネームが付けられている。この研究者は、「特定の DOM (Document Object Model) 操作の管理方法において、アーキテクチャ上の欠陥を悪用することで、あらゆる Chromium ブラウザが 15～60 秒でクラッシュする可能性がある」と述べている。

Chrome 142 がリリース：20件の脆弱性を修正し悪意のコード実行などに対処

Chrome 142 Released With Fix for 20 Vulnerabilities that Allows Malicious Code Execution

2025/10/30 CyberSecurityNews — Google は Chrome 142 を Stable チャネルに正式に導入し、Windows／Mac／Linux ユーザー向けにセキュリティ・アップデートを提供している。ロールアウトは即時開始され、今後の数日から数週間をかけて、新たに発見された脅威に対する広範な保護を展開していくという。このバージョンでは 20件の脆弱性が修正されている。これらの脆弱性の多くは、攻撃者に対してリモート・コード実行を許し、ユーザー・データやシステムの整合性への侵害にいたる可能性がある。

Google Chrome のゼロデイ CVE-2025-2783 を悪用：Dante ツールセットを用いた高度な攻撃とは？

Critical Chrome 0-Day Under Attack: Mem3nt0 Mori Hackers Actively Exploiting Vulnerability

2025/10/27 gbhackers — 2025年3月に Kaspersky のセキュリティ研究者が検知した攻撃は、それまで知られていなかった Google Chrome の脆弱性 CVE-2025-2783 を悪用して、著名な標的に高度なスパイウェアを配布するものだった。Operation ForumTroll と呼称される、この洗練された攻撃キャンペーンは、パーソナライズされたフィッシング・リンクを用いて、ロシア国内のメディア／大学／研究機関／政府機関／金融機関など多様な組織を侵害してきた。

Chrome Chrome V8 JavaScript エンジンの脆弱性 CVE-2025-12036：リモート・コード実行の恐れ

Chrome V8 JavaScript Engine Vulnerability Let Attackers Execute Remote Code

2025/10/22 CyberSecurityNews — Google が公開したのは、Chrome ブラウザの V8 JavaScript エンジンに存在する深刻な脆弱性に対する緊急アップデートである。このリモート・コード実行の脆弱性 CVE-2025-12036 は、Chrome のレンダリング機能を支えるオープンソースの JavaScript／WebAssembly エンジンである、V8 の不適切な実装に起因するものだ。

WhatsApp ユーザーが標的：131 件の悪意の Chrome エクステンションを発見

131 Malicious Chrome Extensions Discovered Targeting WhatsApp Users

2025/10/20 gbhackers — WhatsApp Web ユーザーを標的とする、新たなスパムウェアの波が確認された。Socket Threat Research Team が報告したのは、Chrome Web Store に流入する悪意の Chrome エクステンションが 131 件に達したことだ。これらのエクステンションは従来のマルウェアと異なり、甚大な被害をもたらす自動化ツールとして機能し、プラットフォームのポリシーを体系的に崩壊させるものだ。いまの大規模なスパム・キャンペーンは、ブラジルのユーザーを標的としている。

Google Chrome の脆弱性 CVE-2025-11756 が FIX：任意のコード実行の可能性

Chrome Use After Free Vulnerability Let Attackers Execute Arbitrary Code

2025/10/15 CyberSecurityNews — Google が公開したのは、Chrome ブラウザの脆弱性に対する緊急セキュリティ・アップデートである。このアップデートは、Chrome の深刻な解放後メモリ使用 (use-after-free) の脆弱性 CVE-2025-11756 を修正するものだ。この脆弱性を悪用する攻撃者は、ユーザーのシステム上で任意のコードを実行し得るという。

Chrome の脆弱性 CVE-2025-11458／11460 などが FIX：任意のコード実行の可能性

Multiple Chrome Vulnerabilities Expose Users to Arbitrary Code Execution Attacks

2025/10/08 CyberSecurityNews — Google が発表したのは、Windows／Mac 向け Chrome バージョン 141.0.7390.65/.66 と、Linux 向け 141.0.7390.65 のリリースである。これらのバージョンで修正されたのは、影響を受けるシステム上で攻撃者に任意のコード実行を許す可能性のある、複数の深刻なセキュリティ脆弱性である。2025年10月7日に発表された、このアップデートには、世界中のユーザーに深刻なリスクをもたらす３件の重要なセキュリティ修正が含まれている。

Google Chrome V8 JavaScript エンジンの脆弱性：RCE の可能性と PoC 公開

Google Chrome RCE Vulnerability Details Released Along with Exploit Code

2025/10/06 CyberSecurityNews — Google Chrome の V8 JavaScript engine に存在する、深刻なリモート・コード実行 (RCE) 脆弱性に関する技術的詳細と PoC エクスプロイト・コードを、研究者たちが公開した。この脆弱性は、WebAssembly の型正規化プロセスに存在し、 Chrome M135 以降のコミット 44171ac で混入した、CanonicalEqualityEqualValueType 関数における不適切な null 許容 (nullable) のチェックに起因する。

Chrome 141 の 21件の脆弱性が FIX：深刻度 High のヒープバッファ・オーバーフローも含まれる

Chrome Security Update Addressing 21 Vulnerabilities

2025/10/02 gbhackers — Chrome チームが公表したのは、Windows／Mac／Linux 向けの Stable チャンネルにリリースされた、Chrome 141.0.7390.54/55 に関する情報である。このアップデートでは、21件のセキュリティ脆弱性が修正されているが、その中には、深刻 High の欠陥も含まれる。今後の数日から数週にかけて、新たなバージョンが順次展開されていくという。ユーザーに対して強く推奨されるのは、速やかなアップデートにより、安全なブラウジング環境を確保することだ。なお、これらの修正には、外部の研究者の貢献によるものが多くあり、最大 $25,000 報奨金が支払われている。

CISA KEV 警告 25/09/24：Google Chrome のゼロデイ脆弱性 CVE-2025-10585 を登録

CISA Issues Alert on Actively Exploited Google Chrome 0-Day Vulnerability

2025/09/24 gbhackers — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が発令したのは、現在も悪用されている Google Chrome のゼロデイ脆弱性に対する、緊急のセキュリティ・アラートである。この脆弱性 CVE-2025-10585 は、Google Chromium の V8 JavaScript／WebAssembly エンジンに影響を及ぼし、世界中のユーザーに重大なセキュリティリスクをもたらすものであり、KEV (Known Exploited Vulnerabilities) カタログにも追加された。

Google Chrome のゼロデイ脆弱性 CVE-2025-10585：任意コード実行の可能性

Code Analysis Published for Chrome Type Confusion 0-Day Vulnerability

2025/09/22 gbhackers — 2025年9月16日付けで Google TAG (Threat Analysis Group) が公表したのは、V8 の TurboFan コンパイラ・コンポーネントに存在する、深刻なゼロデイ脆弱性 CVE-2025-10585 の情報である。長年にわたり、Google Chrome の V8 JavaScript エンジンは、世界中の数十億のユーザーに対して、スピードとセキュリティのバランスを取ってきた。この脆弱性を悪用する攻撃者は、タイプ・コンフュージョンを引き起こし、ブラウザ・プロセスのメモリを破損させ、最終的に任意のコード実行の可能性を得る。

Google Chrome のゼロデイ脆弱性 CVE-2025-10585 などが FIX：悪用を観測

Google Chrome 0-Day Vulnerability Actively Exploited in the Wild – Patch Now

2025/09/18 CyberSecurityNews — Google が Chrome の緊急セキュリティ・アップデートを公開した。対象となるのは、現時点で悪用されている、深刻なゼロデイ脆弱性 CVE-2025-10585 である。この脆弱性は、2025年に Chrome で発見／修正された一連のゼロデイ脆弱性の中で、最新の事例である。ユーザーに対して強く推奨されるのは、速やかにブラウザを更新し、潜在的な攻撃から身を守ることである。

Google Chrome の脆弱性 CVE-2025-10200／10201 が FIX：リモート・コード実行の恐れ

Chrome Security Update Patches Critical Remote Code Execution Vulnerability

2025/09/10 CyberSecurityNews — Google がリリースしたのは、Chrome の深刻な脆弱性 CVE-2025-10200／CVE-2025-10201 を修正する、緊急セキュリティ・アップデートである。この脆弱性を悪用する攻撃者は、リモートから任意のコードを実行できるため、ユーザーに対して強く推奨されるのは、Chrome ブラウザの速やかなアップデートとなる。Chrome の Stable チャンネルで提供される最新バージョンは、Windows 版の 140.0.7339.127／.128、Mac 版の 140.0.7339.132／.133／Linux 版の 140.0.7339.127 となる。

Google に対する米地裁の判決：Chrome ビジネスの売却は強制しないが検索データを他社に共有せよ

Google Won’t Be Forced to Sell Chrome, But Must Share Search Data With Rivals

2025/09/03 CyberSecurityNews — Google に対して米コロンビア地裁が命じたのは、Chrome 所有権の売却は強制しないが、重要な検索データは競合他社に共有すべきという内容である。9月2日 (火) に司法省の反トラスト局が発表した判決は、10年以上にわたり市場を支配してきた Google の検索独占に対する、政府による継続的な戦いにおける大勝利である。

Chrome 140 がリリース：深刻な Use-after-free の脆弱性 CVE-2025-9864 など６件を修正

Chrome 140 Released With Fix For Six Vulnerabilities that Enable Remote Code Execution Attacks

2025/09/03 CyberSecurityNews — Google は Chrome 140 を正式に Stable チャンネルに昇格させ、Windows／Mac／Linux／Android／iOS 向けに新バージョンの展開を開始した。このアップデートでは、通常通りの安定性とパフォーマンスの向上が取り込まれているが、特筆すべきはリモート・コード実行の可能性がある、深刻な脆弱性６件を修正する重要なセキュリティ・パッチである。ユーザーに対して強く推奨されるのは、速やかなブラウザ・アップグレードによる、潜在的な悪用からの保護である。

Google Chrome の脆弱性 CVE-2025-9478 が FIX：解放後メモリ使用による任意のコード実行

Critical Chrome Use After Free Vulnerability Let Attackers Execute Arbitrary Code

2025/08/27 CyberSecurityNews — Google が公開したのは、ANGLE グラフィック・ライブラリに存在する深刻な解放後メモリ使用 (use-after-free) 脆弱性 CVE-2025-9478 に対処するための、Chrome の緊急セキュリティ・アップデートである。この脆弱性は Windows／Mac／Linux プラットフォームにおける Chrome バージョン 139.0.7258.154／.155 未満に影響を及ぼし、その悪用に成功した攻撃者は、侵害したシステム上で任意のコード実行の可能性を手にする。

Google Chrome のゼロデイ脆弱性 CVE-2025-5419：PoC 公開と実環境での悪用

PoC Exploit Published for Chrome 0-Day Already Under Active Attack

2025/08/26 gbhackers — Google Chrome の深刻なゼロデイ脆弱性 CVE-2025-5419 (CVSS：7.5) に対する PoC エクスプロイトが、情報の提供から３ヶ月も経たずに公開されたが、それと同時に、実際の悪用事例も多数報告されている。この脆弱性は、Chrome の V8 JavaScript エンジンにおける境界外での読取／書込に起因し、137.0.7151.68 未満のバージョンに影響を及ぼす。その結果として、細工された HTML ページを介した、ヒープ破損が引き起こされる可能性がある。

Google Chrome の脆弱性 CVE-2025-9132 が FIX：任意のコード実行の可能性

Chrome High-Severity Vulnerability Could Let Attackers Run Arbitrary Code

2025/08/20 gbhackers — Google が公表したのは、影響を受けるシステム上で攻撃者に対して、任意のコード実行を許す深刻な脆弱性に対処する、Chrome の緊急セキュリティ・アップデートのリリースである。それにより、Windows／Mac 用にはバージョン 139.0.7258.138／.139 が、Linux 用にはバージョン 139.0.7258.138 が提供されている。この脆弱性 CVE-2025-9132 は、V8 JavaScript エンジンに影響を及ぼし、世界中の数百万人の Chrome ユーザーに深刻なリスクをもたらすという。

Google Chrome の５件の脆弱性が FIX：影響を受けるシステムで攻撃者に任意のコード実行を許す可能性

Multiple Chrome High-Severity Vulnerabilities Let Attackers Execute Arbitrary Code

2025/08/13 CyberSecurityNews — Google が公表したのは、Chrome に存在する５件の脆弱性を修正する重要なセキュリティアップデートである。この更新には、Windows/Mac/Linux 向けの Stable チャネル・アップデートが含まれ、Windows／Mac にはバージョン 139.0.7258.127／.128 が、Linux にはバージョン 139.0.7258.127 が提供されている。このアップデートに取り込まれるものには、影響を受けるシステム上での任意のコード実行にいたる、高深刻度の脆弱性の修正がある。この脆弱性が悪用されると、ユーザー・データおよびシステム整合性に重大なリスクを生じるとされる。

Chrome の深刻な脆弱性 CVE-2025-8292 が FIX：任意のコード実行の可能性

Chrome High-Severity Vulnerabilities Allows Memory Manipulation and Arbitrary Code Execution

2025/07/30 CyberSecurityNews — Google ga公表したのは、Chrome ブラウザの複数の脆弱性を修正する、緊急セキュリティ・アップデートである。その中には、攻撃者によるメモリ操作を許し、ユーザー・システム上での任意のコード実行を引き起こす、深刻度の高い脆弱性 CVE-2025-8292 も含まれている。最新版の Chrome 138 である、Linux 版 138.0.7204.183 および、Windows／macOS 版 138.0.7204.183／.184 において、これらの深刻な脆弱性は修正されている。すべてのユーザーに対して Google が強く推奨するのは、最新の Chrome へ向けた速やかなアップデートである。

CISA KEV 警告 25/07/24：Google Chromium の脆弱性 CVE-2025-6558 を登録

CISA Alerts on Google Chromium Input Validation Flaw Actively Exploited

2025/07/24 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium の不適切な入力検証の脆弱性 CVE-2025-6558 が、脅威アクターにより積極的に悪用されているとして、緊急警報を発した。この脆弱性が悪用されると、複数の Chromium ベースの Web ブラウザに影響が生じ、数百万のユーザーが重大なリスクに直面するという。

Google Chrome の脆弱性 CVE-2025-8010／8011 などが FIX：システムの制御奪取の恐れ

Chrome High-Severity Vulnerabilities Allow Hackers to Gain Full Control

2025/07/23 gbhackers — Google が公表したのは、Chrome の深刻な脆弱性に対処する緊急のセキュリティ更新のリリースであり、パッチ適用が遅滞すると、ユーザー・システムの完全な制御を、攻撃者に許す可能性が生じるという。このリリースに伴い、Stable チャネルにおける Windows／macOS／Linux 向けのバージョンは 138.0.7204.168 へと更新されており、今後の数日から数週の間に、すべてのユーザーに対して順次展開される予定である。

Chrome／Chromium のゼロデイ脆弱性 CVE-2025-6558 が FIX：積極的な悪用は APT の仕業？

Urgent: Google Releases Critical Chrome Update for CVE-2025-6558 Exploit Active in the Wild

2025/07/16 TheHackerNews — 2025年7月15日 (火) に Google が発表したのは、Chrome Web ブラウザに存在する、６件のセキュリティ問題に対する修正であり、そのうち１件は既に悪用されていると述べている。この、深刻度の高い脆弱性は CVE-2025-6558 (CVSS：8.8) は、ANGLE／GPU コンポーネントにおける、信頼できない入力への不十分な検証に分類されるものだ。

Chrome の武器化された Extension 群：アップデートにより悪意へと変貌し 170 万人を騙す

Weaponized Chrome Extension from Webstore With Verification Badge Infected 1.7 Million Users

2025/07/08 CyberSecurityNews — Chrome ユーザー 170万人以上を感染させた、高度なマルウェア攻撃キャンペーンは、正当に見える 11個のブラウザ・エクステンションを配布するものだった。それらの、すべてのエクステンションは、Google による認証済みバッジを取得し、Chrome Web Store において注目の広告として掲載されていた。このインシデントは、最大級のブラウザ・ハイジャック攻撃であり、ユーザーが安全なエクステンションを見分けるための信頼シグナルが、悪用されたことになる。なお、この “Malicious11” キャンペーンを発見したのは、Koi Security のサイバー・セキュリティ研究者たちである。

CISA KEV 警告 25/07/02：Chrome の 0-Day 脆弱性 CVE-2025-6554 を KEV カタログに登録

CISA Warns of Chrome 0-Day Vulnerability Exploited in Attacks

2025/07/03 CyberSecurityNews — Google Chrome に存在する深刻なゼロデイ脆弱性に対して、CISA が緊急警告を発した。この脆弱性については、実際の攻撃での悪用が多数報告され、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。この脆弱性 CVE-2025-6554 は、Chromium V8 JavaScript エンジンに影響を与えるものであり、世界中の組織に対して、早急な対応が求められている。