Google Chromeチームは7月15日(米国時間)、「Chrome Releases: Stable Channel Update for Desktop」において、Google Chromeの脆弱性を修正するアップデートのリリースを発表した。このアップデートには6件の脆弱性の修正が含まれている。

  • Chrome Releases: Stable Channel Update for Desktop

    Chrome Releases: Stable Channel Update for Desktop

リリースアップデート後のバージョン

リリースアップデート後のバージョンは次のとおり。このアップデートは今後数日または数週間かけて展開される予定。

  • 安定版 (Windows, Mac) - 138.0.7204.157/.158
  • 安定版 (Linux) - 138.0.7204.157

脆弱性の情報

修正された脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-7656 - V8(JavaScriptエンジン)に整数オーバーフローの脆弱性。遠隔から細工したHTMLページを介してヒープ破壊を悪用できる可能性がある(CVSSスコア: 8.8)
  • CVE-2025-6558 - ANGLEおよびGPUに信頼できない入力の不十分な検証の脆弱性。遠隔から細工したHTMLページを介してサンドボックスを脱出できる可能性がある(CVSSスコア: 8.8)
  • CVE-2025-7657 - WebRTCに解放後使用(UAF: use-after-free)の脆弱性。遠隔から細工したHTMLページを介してヒープ破壊を悪用できる可能性がある(CVSSスコア: 8.8)

対策

Googleは脆弱性の修正が広く行き渡るまで詳細を伏せる方針を取っており、一部の脆弱性の情報を公開していない。今回は内部および外部の研究者により発見された3件の脆弱性の情報を公開している。

Googleは公開した脆弱性の深刻度をすべて高(High severity)と評価しており注意が必要。また、CVE-2025-6558について次のように述べ、すでに悪用されている可能性を示唆している。

「 GoogleはCVE-2025-6558のエクスプロイトが存在することを認識しています」

CVE-2025-6558を悪用するとサンドボックスの脱出が可能とされる。これはWebコンテンツを介したシステム環境へのアクセスが可能なことを意味し、幅広い影響が懸念されている。これら脆弱性の影響を回避するため、Chromeを利用しているユーザーは速やかなアップデートの実施が望まれている。