研究者たちは、Chromeウェブブラウザで発見された2つの潜在的に深刻な脆弱性を報告したことで、Googleから多額の報奨金を獲得しました。
Googleは今週、外部の研究者によって報告された2つのセキュリティ欠陥を修正するChromeのアップデートを公開しました。その中には、ブラウザのServiceworkerコンポーネントにおける重大なバグも含まれており、これには43,000ドルのバグ報奨金が支払われました。
CVE-2025-10200として追跡されているこの重大な脆弱性は、Looben Yangによって報告され、use-after-freeの問題と説明されています。これらの種類のメモリ破損の脆弱性は、プログラムが解放済みのメモリにアクセスしようとした際に発生します。
攻撃者はメモリ操作のタイミングを利用することで、use-after-freeバグを悪用し、解放されたメモリ領域に悪意のあるコードを配置し、任意のコード実行やシステムの完全な乗っ取りを実現する可能性があります。
最新のChromeアップデートでは、Mojoにおける高深刻度の不適切な実装(CVE-2025-10201)も修正されています。これに対してGoogleは30,000ドルの報奨金を支払いました。この脆弱性はSahan Fernando氏と匿名の研究者によって報告されました。
これらは大きな報奨金のように見えるかもしれませんが、Googleは最近、ウェブブラウザのサンドボックスを回避できるChromeの脆弱性に対して250,000ドルのバグ報奨金を支払っています。
Googleは、今回修正された脆弱性が実際に悪用されたという言及はしていませんが、ユーザーにはできるだけ早くブラウザをアップデートすることが推奨されています。
Chromeのアップデートは、Windows向けがバージョン140.0.7339.127/.128、macOS向けがバージョン140.0.7339.132/.133、Linux向けがバージョン140.0.7339.127として順次提供されています。
広告。スクロールして続きをお読みください。
翻訳元: https://www.securityweek.com/critical-chrome-vulnerability-earns-researcher-43000/