Bleeping Computerは12月11日(米国時間)、「Google fixes eighth Chrome zero-day exploited in attacks in 2025」において、Google Chromeのゼロデイの脆弱性が修正されたと報じた。

攻撃者は細工したWebサイトを構築することで、Chromeユーザーのデバイス上で任意のコードを実行できる可能性があるという。

  • Google fixes eighth Chrome zero-day exploited in attacks in 2025

    Google fixes eighth Chrome zero-day exploited in attacks in 2025

脆弱性の情報

今回のアップデートでは、3件の脆弱性が修正された。ゼロデイの脆弱性を除く、2件の脆弱性の概要は次のとおり。

  • CVE-2025-14372 - パスワードマネージャーに解放後使用(UAF: use-after-free)の脆弱性
  • CVE-2025-14373 - ツールバーに不適切な実装の脆弱性

Googleはゼロデイの脆弱性について「調整中」と発表し、詳細情報を伏せている。しかしながら次のように述べ、すでに悪用されている可能性を示唆した。

「Googleは466192044のエクスプロイトが存在することを認識しています」

Bleeping Computerはこのゼロデイの脆弱性について、OpenGL ES実装「ANGLE」の不具合ではないかと推測している。Chromiumの修正ログによると、ANGLE Metalレンダラーにバッファーオーバーフローの脆弱性が存在し、メモリ破損、クラッシュ、機密情報の漏洩、任意のコード実行の可能性があるという。

リリースアップデート後のバージョン

Chromeのアップデート後のバージョンは次のとおり。このアップデートは今後数日または数週間かけて展開される予定。

  • 安定版 (Windows, Mac) - 143.0.7499.109/.110
  • 安定版 (Linux) - 143.0.7499.109

Googleはゼロデイの脆弱性の深刻度を高(High severity)と評価しており注意が必要。脆弱性の影響を回避するため、Chromeを利用しているユーザーは速やかなアップデートの実施が望まれている。