はじめに:Chromeの重大なセキュリティ更新
Googleは、攻撃者が被害者のコンピューター上で悪意のあるコードを実行できる可能性のある危険なUse-After-Free脆弱性を発見した後、Chromeブラウザユーザー向けに緊急のセキュリティアップデートをリリースしました。この脆弱性はCVE-2025-11756として追跡されており、Chromeのセーフブラウジング機能に影響を与え、Googleのセキュリティチームから「高」の深刻度評価を受けています。
Chromeのセーフブラウジング機能における深刻な脆弱性
新たに発見されたこのセキュリティ上の欠陥は、世界中のChromeユーザーにとって深刻な脅威となります。Use-After-Free脆弱性は、プログラムが解放されたメモリを継続して使用する際に発生し、攻撃者がそのメモリ空間を操作する機会を生み出します。このケースでは、脆弱性はユーザーを悪意のあるウェブサイトやダウンロードから保護するように設計されたChromeのセーフブラウジングコンポーネント内に存在します。
セキュリティ研究者「asnine」が2025年9月25日にこの脆弱性を発見し報告し、Googleのバグ報奨金プログラムから7,000ドルの報奨金を獲得しました。Googleは、世界中の何百万ものユーザーのChromeのセキュリティ向上への研究者の貢献を認めました。
脆弱性の影響とGoogleの対応
このUse-After-Free脆弱性が悪用された場合、攻撃者は被害者のシステム上で任意のコードを実行できる可能性があります。これは、サイバー犯罪者がマルウェアをインストールしたり、機密情報を盗んだり、影響を受けるコンピューターへの不正アクセスを獲得したりする可能性があることを意味します。この脆弱性がセーフブラウジング機能に存在することは、このコンポーネントがオンラインの脅威からユーザーを保護するために昇格された権限で実行されるため、特に懸念されます。
この重大なセキュリティ上の欠陥に対応して、GoogleはWindowsおよびMacシステム向けにChromeバージョン141.0.7390.107/.108を、Linux向けにバージョン141.0.7390.107を迅速にリリースしました。このアップデートは2025年10月14日に展開が開始され、今後数日から数週間で全ユーザーに提供されます。
Googleは標準のセキュリティ開示ポリシーを適用し、ほとんどのユーザーがセキュリティパッチをインストールするまで、詳細なバグ情報へのアクセスを制限しています。このアプローチは、ユーザーが更新されたブラウザバージョンで自身を保護する前に、サイバー犯罪者が脆弱性を悪用するのを防ぐのに役立ちます。同社のセキュリティチームは、AddressSanitizer、MemorySanitizer、その他のファジング技術を含む高度な検出ツールを使用して、同様のセキュリティ問題が安定版のChromeリリースに到達するのを特定し、防止しています。
脆弱性概要
- CVE ID: CVE-2025-11756
- 脆弱性の種類: Safe BrowsingにおけるUse-after-free
- 深刻度: 高
- CVSSスコア: 未割り当て
- 影響を受けるコンポーネント: Chrome Safe Browsing
- 報告者: asnine
- 報告日: 2025年9月25日
- バグ報奨金: $7,000
- 修正バージョン: Chrome 141.0.7390.107/.108
ユーザーへの推奨事項
Chromeユーザーは、この深刻なセキュリティ脆弱性から身を守るために、直ちにブラウザを更新する必要があります。ブラウザは通常自動的に更新されますが、ユーザーは「設定」>「Chromeについて」に移動して手動で更新を確認できます。このアップデートを遅らせる組織および個人ユーザーは、この特定の脆弱性を標的とするサイバー犯罪者による悪用の重大なリスクにさらされたままになります。このセキュリティインシデントは、ソフトウェアを常に最新の状態に保つことの継続的な重要性と、潜在的な脅威が広範囲に損害を与える前に特定するセキュリティ研究者の貴重な役割を浮き彫りにしています。