Googleは現地時間2025年12月16日、デスクトップ版Chromeの安定版チャネルを143.0.7499.146/.147(Windows/Mac)、および 143.0.7499.146(Linux) に更新したと発表しました。今後数日〜数週間かけて順次ロールアウトされます。
今回のアップデートでは、外部研究者から報告された2件のセキュリティ脆弱性が修正されています。Googleは、ユーザーの大部分が更新を完了するまで、詳細な技術情報や PoC へのリンクは非公開とする方針を従来通り維持しています。
修正された主な脆弱性
WebGPUにおける Use After Free(CVE-2025-14765)
ブラウザからGPUを直接扱うための仕組み「WebGPU」に、メモリ解放後の領域へアクセスしてしまう Use After Free 脆弱性が存在していました。
この種の不具合は、細工されたWebページを閲覧しただけでブラウザがクラッシュしたり、状況によっては任意コード実行につながる可能性があります。
JavaScriptエンジン V8 の範囲外読み書き(CVE-2025-14766)
深刻度:High
報奨金:未定(TBD)
報告者:Shaheen Fazim 氏
報告日:2025年12月8日
JavaScriptエンジン「V8」に、メモリ領域の範囲外を読み書きしてしまうバグが見つかりました。
V8はほぼすべてのWebサイトの実行に関わる中核コンポーネントであり、攻撃に悪用された場合、ブラウザの異常終了や情報漏えい、さらにはサンドボックス回避の足がかりとなるリスクがあります。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.