Malwarebytesは12月17日(米国時間)、「Two Chrome flaws could be triggered by simply browsing the web: Update now｜Malwarebytes」において、Google Chromeの重大な脆弱性が修正されたと報じた。
これら脆弱性を放置すると、悪意のあるWebサイトにアクセスするだけでデバイスを侵害される可能性があるという。
脆弱性に関する情報
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2025-14765 - WebGPUに解放後使用(UAF: use-after-free)の脆弱性。攻撃者は細工したWebサイトを構築することで、訪問者のデバイスを攻撃できる可能性がある(CVSSスコア: 8.8)
- CVE-2025-14766 - V8(JavaScriptエンジン)に境界外読み取りおよび書き込みの脆弱性。攻撃者は細工したWebサイトを構築することで、訪問者のデバイスを攻撃できる可能性がある(CVSSスコア: 8.8)
リリースアップデート後のバージョン
リリースアップデート後のバージョンは次のとおり。このアップデートは今後数日または数週間かけて展開される予定。
- 安定版 (Windows, Mac) - 143.0.7499.146/.147
- 安定版 (Linux) - 143.0.7499.146
なお、12月18日以降にアップデートを実施すると次のバージョンに更新される。これらバージョン間では最適化(パフォーマンスの改善)のみが実施されており、機能の追加および脆弱性の修正は含まれていない。
- 安定版 (Windows, Mac) - 143.0.7499.169/.170
- 安定版 (Linux) - 143.0.7499.169
対策
Googleは脆弱性の修正が広く行き渡るまで詳細を伏せる方針を取っているが、今回は外部の研究者により発見された2件すべての共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)を公開した。
いずれも深刻度が高(High severity)と評価されており注意が必要。Chromeを利用しているユーザーには速やかなアップデートの実施が望まれている。