緊急アップデートの概要

Googleは、Chromeブラウザ向けに緊急セキュリティアップデートをリリースしました。このアップデートは、リモートコード実行（RCE）攻撃を可能にする可能性のある、2つの高深刻度脆弱性に対処するものです。安定版チャネルのバージョン 143.0.7499.146/.147 が現在、Windows、Mac、Linuxユーザー向けに展開されています。

修正された重大な脆弱性

今回のアップデートで修正された脆弱性は、外部のセキュリティ研究者によって報告されたものです。以下に詳細を示します。

• CVE-2025-14765：これはWebGPUにおけるuse-after-freeのバグであり、匿名の研究者によって2025年9月30日に報告されました。Googleはこの発見に対して10,000ドルの報奨金を授与しました。
• CVE-2025-14766：V8 JavaScriptエンジンにおけるout-of-bounds readおよびwriteの問題です。セキュリティ研究者のShaheen Fazim氏が2025年12月8日にこの脆弱性を報告しました。この発見に対する報奨金額は現在「未定」とされています。

両方の脆弱性は高い深刻度を持ち、深刻なセキュリティリスクをもたらします。use-after-freeバグは、プログラムが既に解放されたメモリにアクセスしようとすることで発生し、攻撃者が任意のコードを実行することを可能にする可能性があります。同様に、V8におけるout-of-bounds脆弱性は、割り当てられたメモリの境界を超えてデータを読み書きすることを可能にし、これもコード実行または情報漏洩につながる可能性があります。

ユーザーへの推奨とGoogleのセキュリティ対策

Chromeユーザーは、潜在的な悪用から保護するために、直ちにブラウザをアップデートする必要があります。通常、ブラウザは自動的に更新されますが、ユーザーはChromeの設定メニューに移動して手動でアップデートを確認できます。Googleは、標準的な責任ある開示慣行に従い、ほとんどのユーザーがセキュリティパッチをインストールするまで、詳細なバグ情報へのアクセスを制限しています。

Googleは、開発サイクル中にセキュリティ脆弱性を特定し、安定版リリースにバグが到達するのを防ぐために、AddressSanitizer、MemorySanitizer、libFuzzerなどの高度な検出ツールを引き続き活用しています。

元記事: https://gbhackers.com/chrome-security-update-fixes-flaws/