世界の大半のウェブを支える基盤技術に深刻なセキュリティ脆弱性が最近発見され、世界中のほとんどのウェブブラウザの基盤コードに存在していたことから、40億台以上のデバイスがデータ漏えいの危険にさらされました。
自律型セキュリティ企業のAISLEがこの欠陥を発見し、その深刻度を「中(4.3)」と評価しました。この脆弱性は、Google Chrome、Microsoft Edge、Brave、Operaを含む、Chromiumコードベース上に構築されたすべての主要ブラウザに影響します。
WebXRリーク
問題はWebXRにあります。WebXRは、ウェブサイトがブラウザ上で直接バーチャルリアリティ(VR)や拡張現実(AR)体験を実行できるようにするツールです。AISLEの自律型アナライザーは2025年10月にこの欠陥を発見し、それが7か月もの間コード内に潜んでいたことを確認しました。
技術的な不具合は非常に微妙なものでした。3D変換の処理中に、ごく小さなデータ片を正しく扱えていなかったのです。その結果、ブラウザがバックグラウンドで隣接するメモリから余分に64バイトを誤って読み取ってしまっていました。
ブログ著者のStanislav Fort氏は、漏えいした値について「近傍のヒープメモリを露出させ、ポインターデータを含んでいた」と説明しており、攻撃者はこれを利用してセキュリティ対策を回避できる可能性があると述べています。ただし、攻撃者がこのデータ漏えいを引き起こすには、ユーザーに特定の悪意あるページ(VRセッション開始のクリックなど)で操作させる必要があります。
Googleの迅速な対応
Chromiumベースのブラウザは世界シェアの70%以上を占めており、Google Chromeだけでも30億台以上のデバイスで動作していることから、その潜在的な影響は甚大でした。事実上、ほぼすべてのWindowsノートPC、Androidスマートフォン、その他無数のデバイスが脆弱な状態にあったのです。
幸いなことに、Googleは素早く行動しました。AISLEが2025年10月15日に責任ある開示を行った後、Googleは「24時間以内に修正をプッシュ」しました。安定版Chromeへの反映も迅速で、2025年10月28日にはアップデートが提供されており、同社の迅速なセキュリティ対応姿勢がうかがえます。
あなたが今すぐやるべきこと
この脆弱性(CVE-2025-12443)にはすでにパッチが適用されていますが、機密情報を守るためには、今すぐブラウザを更新する必要があります。以下を含め、必ずアップデートしてください。
- Chrome(バージョン142.0.7444.59以降)
- Microsoft Edge、Brave、Opera、その他すべてのChromiumベースのブラウザ
今回のWebXRの欠陥は、VRやARのような新技術が、ミスの起こりやすい複雑な領域を生み出すことを改めて示しています。あなたのデータを守るうえで最も重要で、かつ最も簡単な行動はひとつです。今すぐブラウザの設定を確認し、自動更新が有効になっていることを確かめてください。
翻訳元: https://hackread.com/webxr-flaw-chromium-users-browser-update/
