緊急アップデートの概要

Googleは、Chromeブラウザの緊急セキュリティアップデートを全プラットフォーム向けにリリースしました。バージョン142.0.7444.134および142.0.7444.135が展開され、5つの深刻度「高」および「中」の脆弱性に対処しています。このアップデートは、WebGPUの実装やその他のコアコンポーネントで特定された緊急のセキュリティ懸念を解消し、ユーザーをリモートコード実行（RCE）攻撃から保護することを目的としています。

この緊急リリースは2025年11月5日に行われ、今後数日から数週間にわたり、Windows、Mac、Linuxシステムに順次展開されます。ユーザーは、潜在的な悪用から身を守るため、直ちにブラウザをアップデートするよう強く推奨されています。Googleは、広範な攻撃を防ぐため、セキュリティパッチが大多数のユーザーにインストールされるまで、詳細なバグ情報へのアクセスを制限する標準的な慣行を取っています。

WebGPUの深刻な脆弱性

今回のアップデートで最も深刻な脆弱性は、CVE-2025-12725です。これは、ChromeのWebGPU実装における高深刻度の境界外書き込み（out-of-bounds write）の欠陥として分類されています。このグラフィック処理に関する脆弱性は、2025年9月9日に最初に報告されましたが、開発およびテスト中は非公開とされていました。境界外書き込みの脆弱性は、攻撃者が意図されたメモリ境界を超えてデータを書き込むことを可能にするため、特に危険です。悪意のあるウェブコンテンツを通じて適切に悪用された場合、リモートコード実行を可能にする可能性があります。

その他の主要な脆弱性

2番目に主要な脆弱性であるCVE-2025-12726は、Viewsコンポーネントにおける不適切な実装に関連しており、これも高深刻度と評価されています。これは2025年9月25日に報告され、ブラウザのセキュリティにとって同様に重大な脅威となります。Viewsシステムはユーザーインターフェースのレンダリングとウィンドウ管理を処理するため、このレイヤーの脆弱性は攻撃対象領域の観点から特に危険です。

ChromeのV8 JavaScriptエンジンも、今回のアップデートで対応が必要でした。CVE-2025-12727は、不適切な実装に関連する別の高深刻度の脆弱性です。V8エンジンはブラウザ内のすべてのJavaScriptコードを実行するため、ここでの脆弱性は悪意のあるウェブサイトを訪問するユーザーにとって極めて重大な懸念事項となります。この脆弱性は、セキュリティ研究者303f06e3によって2025年10月23日に発見されました。

さらに、ChromeのOmnibox検索およびナビゲーションバーに影響を与える2つの中深刻度の脆弱性もパッチが適用されました。CVE-2025-12728とCVE-2025-12729は、いずれもOmniboxコンポーネントにおける不適切な実装に関連しており、それぞれ研究者HafiizhとKhalil Zhaniによって報告されました。これらは「中」深刻度と分類されていますが、依然として重大なセキュリティリスクをもたらすため、緊急アップデートに含まれることになりました。

影響を受けるプラットフォームとバージョン

• Windowsユーザー: バージョン142.0.7444.134および142.0.7444.135
• Macユーザー: バージョン142.0.7444.134
• Linuxユーザー: バージョン142.0.7444.134
• Androidユーザー: 今後数日中にGoogle Playを通じて同様のセキュリティ修正を受け取る予定です。
• iOSユーザー: 2025年11月4日にChrome Stableバージョン142.0.7444.128を既に受け取っており、今回のデスクトップリリースで概説されているセキュリティ改善と一致しています。

Googleの対応と今後の展望

Googleのセキュリティチームは、AddressSanitizer、MemorySanitizer、ファジングなど、複数の高度な検出技術を使用して、これらの脆弱性がユーザーに到達する前に特定し、防止しました。同社は、開発サイクル全体を通じてブラウザのセキュリティを維持するため、外部のセキュリティ研究者と引き続き協力しています。ユーザーは、Chromeの公式バグ報告システムを通じて新しい脆弱性を報告することで、継続的な保護活動を支援することができます。

---

元記事: https://gbhackers.com/google-issues-emergency-chrome-update/