Google Chrome、今年8件目のゼロデイ脆弱性を修正
Googleは本日、Chromeのゼロデイ脆弱性が悪用されていることを受け、緊急アップデートをリリースしました。これは、今年に入ってから同社が修正した8件目のゼロデイ脆弱性となります。
Googleのセキュリティアドバイザリによると、「466192044」として識別されるエクスプロイトが既に実環境で確認されており、Windows (143.0.7499.109)、macOS (143.0.7499.110)、Linux (143.0.7499.109)のStable Desktopチャンネル向けに新しいバージョンが展開されています。通常、セキュリティパッチが全ユーザーに行き渡るには数日または数週間かかることがありますが、BleepingComputerの確認では、更新は即座に利用可能でした。手動での更新を望まない場合でも、Chromeは自動更新機能を通じて次回の起動時にパッチを適用します。
脆弱性の詳細:LibANGLEのバッファオーバーフロー
今回のゼロデイバグに関する詳細は、現在「調整中」であるため、CVE IDを含む具体的な情報はまだ公開されていません。しかし、ChromiumのバグIDから、この脆弱性がGoogleのオープンソースライブラリLibANGLEに見つかったことが判明しています。
LibANGLEは、OpenGL ESグラフィックスコールをDirect3D、Vulkan、Metalなどの他のAPIに変換する役割を担っており、OpenGL ESアプリがネイティブサポートされていないシステムや、代替グラフィックスAPIがより優れたパフォーマンスを提供するシステムで動作できるようにします。Chromiumのバグ報告によると、このゼロデイは、ANGLEのMetalレンダラーにおけるバッファオーバーフローの脆弱性であり、不適切なバッファサイジングが原因で発生します。これにより、メモリ破損、クラッシュ、機密情報漏洩、さらには任意のコード実行につながる可能性があります。
今年これまでのゼロデイ悪用状況
Googleは今年に入ってから、今回の脆弱性を含め合計8件のゼロデイ脆弱性を修正しています。これまでの修正は以下の通りです。
- 11月、9月、7月: GoogleのThreat Analysis Group (TAG) が報告した2件のゼロデイ(CVE-2025-13223、CVE-2025-10585、CVE-2025-6558)を修正。
- 5月: アカウント乗っ取りを可能にするゼロデイ(CVE-2025-4664)を修正。
- 6月: V8 JavaScriptエンジン内の別のゼロデイ(CVE-2025-5419)を修正。これもGoogle TAGによって発見されました。
- 3月: Kasperskyが報告した高深刻度のサンドボックスエスケープ脆弱性(CVE-2025-2783)を修正。これはロシア政府機関やメディアを標的としたスパイ攻撃で悪用されました。
これらの頻繁なゼロデイの悪用は、サイバーセキュリティの脅威が継続的に進化していることを示しており、ユーザーは常にソフトウェアを最新の状態に保つことの重要性を再認識する必要があります。