Google Chromeチームは6月2日(米国時間)、「Chrome Releases: Stable Channel Update for Desktop」において、Google Chromeの脆弱性を修正するアップデートのリリースを発表した。このアップデートには3件の脆弱性の修正に加え、複数の不具合の修正などが含まれている。
-
Chrome Releases: Stable Channel Update for Desktop
リリースアップデート後のバージョン
リリースアップデート後のバージョンは次のとおり。このアップデートは今後数日または数週間かけて展開される予定。
- 安定版 (Windows, Mac) - 137.0.7151.68/.69
- 安定版 (Linux) - 137.0.7151.68
脆弱性の情報
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2025-5419 - V8(JavaScriptエンジン)に境界外読み取りおよび書き込みの脆弱性。リモートの攻撃者は細工したWebページを介してヒープ破壊を引き起こし、任意のコード実行などに悪用する可能性がある(CVSSスコア: 不明)
- CVE-2025-5068 - Blinkに解放後使用(UAF: use-after-free)の脆弱性。リモートの攻撃者は細工したWebページを介してヒープ破壊を引き起こし、攻撃に悪用する可能性がある(CVSSスコア: 不明)
対策
Googleは脆弱性の修正が広く行き渡るまで詳細を伏せる方針を取っており、一部の脆弱性の情報を公開していない。今回は内部および外部の研究者により発見された2件の脆弱性の情報を公開している。
CVSSスコアはいずれも開示されていないが、GoogleはCVE-2025-5419の深刻度を高(High severity)と評価しており注意が必要。また、この脆弱性について次のように述べ、すでに悪用されている可能性を示唆している。
「GoogleはCVE-2025-5419のエクスプロイトが存在することを認識しています」
今回のアップデートには上記の脆弱性の他に非公開の脆弱性の修正が1件含まれている。これら脆弱性の影響を回避するため、Chromeを利用しているユーザーには速やかなアップデートの実施が望まれている。
Google Chromeに悪用済み脆弱性、直ちにアップデートを
