Google Chromeチームは5月14日(米国時間)、「Chrome Releases: Stable Channel Update for Desktop」において、Chromeの脆弱性を修正するアップデートのリリースを発表した。このアップデートには4件の脆弱性の修正に加え、複数の不具合の修正などが含まれている。

  • Chrome Releases: Stable Channel Update for Desktop

    Chrome Releases: Stable Channel Update for Desktop

リリースアップデート後のバージョン

リリースアップデート後のバージョンは次のとおり。このアップデートは今後数日または数週間かけて展開される予定。

  • 安定版 (Windows, Mac) - 136.0.7103.113/.114
  • 安定版 (Linux) - 136.0.7103.113

脆弱性の情報

修正された脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-4664 - Loaderに不十分なポリシー適用の脆弱性。リモートの攻撃者は細工したWebページを介して、オリジン間(cross-origin)データを漏洩させる可能性がある(CVSSスコア: 4.3)
  • CVE-2025-4609 - Mojoに型の混乱の脆弱性。不特定の状況下において不正確なハンドルを提供する可能性がある。(CVSSスコア: 不明)

対策

Googleは脆弱性の修正が広く行き渡るまで詳細を伏せる方針を取っており、一部の脆弱性の情報を公開していない。今回は外部の研究者により発見された2件の脆弱性の情報を公開している。

CVSSスコアはCVE-2025-4664の1件のみを公開しており、その深刻度は警告(Warning)と評価されている。しかしながらGoogleは「高(High severity)」と評価しており、実際の重大性はより高いものとみられる。

なお、CVE-2025-4664は脆弱性の発見者により概念実証(PoC: Proof of Concept)コードが公開されている(参考:「slonser氏のXへの投稿」)。Googleは次のように述べ、今後悪用される可能性について注意を呼びかけている。

「 GoogleはCVE-2025-4664に関する情報が公開されていることを認識しています」

今回のアップデートには上記の脆弱性の他に非公開の脆弱性の修正が2件含まれている。これら脆弱性の影響を回避するため、Chromeを利用しているユーザーには速やかなアップデートの実施が望まれている。