Googleは、Chromeブラウザ向けに13件のセキュリティ修正を含むアップデートをリリースしました。このうち4件は深刻度「高」に分類されています。その1つはChromeの「デジタル認証情報(Digital Credentials)」機能で見つかったもので、これはデジタルウォレットに保存された検証済み情報をウェブサイトと共有し、デバイスをまたいで自分が本人であることを証明できるようにするツールです。
Chromeは世界で最も人気のあるブラウザであり、推定34億人が利用しています。この規模のため、Chromeにセキュリティ上の欠陥があると、ユーザーがアップデートするまでの間、数十億人が潜在的に危険にさらされることになります。
だからこそ、これらのパッチをすぐにインストールすることが重要です。パッチを適用しないままでいると、単にウェブを閲覧しているだけで危険にさらされる可能性があり、攻撃者は多くのユーザーがアップデートする前に、この種の欠陥を悪用することがよくあります。ブラウザには常に自動更新を許可し、更新が入ったら再起動を先延ばしにしないでください。更新はたいてい、まさにこの種のリスクを修正するためのものです。
Chromeを更新する方法
最新バージョン番号は、WindowsおよびmacOS向けが143.0.7499.40/.41、Linux向けが143.0.7499.40です。したがって、Chromeのバージョンが143.0.7499.40以降であれば、これらの脆弱性から保護されています。
最も簡単な更新方法は、Chromeに自動更新を任せることですが、ブラウザをまったく閉じなかったり、拡張機能がブラウザの更新を妨げるなどの問題が起きたりすると、更新が遅れてしまうことがあります。
手動で更新するには、その他メニュー(縦に並んだ3つの点)をクリックし、設定 > Chromeについてに進みます。更新が利用可能な場合、Chromeがダウンロードを開始します。更新を完了するにはChromeを再起動してください。これで、これらの脆弱性から保護されます。
各OSごとの手順については、すべてのオペレーティングシステムでChromeを更新する方法を解説したガイドでも、ステップバイステップの説明を確認できます。
技術的な詳細
脆弱性の1つはデジタル認証情報機能で見つかり、CVE-2025-13633として追跡されています。いつものように、Googleは大半のユーザーが更新を終えるまで詳細を控えています。説明には次のように記載されています。
143.0.7499.41より前のGoogle ChromeのDigital CredentialsにおけるUse after freeにより、リモート攻撃者がレンダラープロセスを侵害していた場合、細工されたHTMLページを介してヒープ破壊を悪用できる可能性がありました。
少し難しく聞こえるので、かみ砕いて説明します。
Use after free(UAF)とは、プログラムが解放済みのメモリ領域にアクセスしようとする、特定の種類のソフトウェア脆弱性です。これによりクラッシュが発生したり、場合によっては攻撃者が任意のコードを実行できるようになったりします。
レンダラープロセスは、Chromeのようなモダンブラウザにおいて、HTML、CSS、JavaScriptをタブ内に表示されるウェブページへと変換する部分です。安全性のためにサンドボックス化されており、タブやURL、ネットワークリクエストを管理するメインの「ブラウザプロセス」とは分離されています。つまり、HTMLページに関して言えば、これは事実上ブラウザの「ページ表示エンジン」です。
ヒープとは、プログラムが利用できるメモリ領域の一部です。プログラムはヒープ内で使用するメモリブロックを要求できます。あるサイズのブロックを割り当てるには、プログラムがヒープ割り当て操作を呼び出して明示的に要求します。
「レンダラーを侵害したリモート攻撃者」とは、攻撃者がすでに何らかの足掛かり(たとえば悪意あるブラウザ拡張機能など)を得ており、そのうえで細工されたHTMLコードを含むサイトへユーザーを誘導する必要がある、という意味です。
そのため、この脆弱性は悪意ある拡張機能によって悪用され、Digital Credentialsを通じて扱われる情報を盗み出すために使われる可能性があると考えられます。攻撃者は本来であればパスキーを必要とする情報にアクセスできるようになり、機密情報を狙う者にとって非常に魅力的な標的となります。
今回の修正の一部は、他のChromiumベースのブラウザにも適用されます。そのため、Brave、Edge、Operaなどを使用している場合も、それぞれのブラウザで更新がないか注意して確認してください。
翻訳元: https://www.malwarebytes.com/blog/news/2025/12/google-fixes-13-security-issues-affecting-billions
