Googleは、実際の攻撃で悪用されている別のChromeゼロデイ脆弱性に対処する緊急アップデートをリリースしました。これは、年初から修正された8件目の同種のセキュリティ欠陥となります。
「Googleは、466192044向けのエクスプロイトが実際に存在することを認識しています」と、Googleは水曜日に公開したセキュリティアドバイザリの中で述べました。
同社は現在、Stable Desktopチャネルのユーザー向けにこの脆弱性を修正しており、新バージョンがWindows(143.0.7499.109)、macOS(143.0.7499.110)、Linux(143.0.7499.109)向けに世界中で順次ロールアウトされています。
Googleによると、このセキュリティパッチがすべてのユーザーに行き渡るまでには数日から数週間かかる可能性がありますが、BleepingComputerが本日早くに更新を確認したところ、すぐに利用可能な状態でした。
手動で更新したくない場合は、ウェブブラウザに自動的に更新を確認させ、次回の起動時にインストールさせることもできます。
Googleは、このゼロデイバグについて、追跡に用いられるCVE IDを含め、他の詳細を一切共有しておらず、「現在も調整中(under coordination)」だとしています。
「修正が大多数のユーザーに行き渡るまで、バグの詳細やリンクへのアクセスは制限されたままになる可能性があります。また、そのバグが他のプロジェクトも同様に依存しているサードパーティライブラリ内に存在し、まだ修正されていない場合には、制限を維持します」と同社は述べています。
しかし、ChromiumのバグIDによると、この欠陥はGoogleのオープンソースライブラリであるLibANGLEで発見されたもので、これはOpenGL ESのグラフィックス呼び出しをDirect3D、Vulkan、Metalなどの他のAPIに変換し、OpenGL ESアプリがネイティブにサポートしていないシステム上や、代替グラフィックスAPIの方が高いパフォーマンスを発揮するシステム上で動作できるようにするものです。
Chromiumのバグレポートによると、このゼロデイは、ANGLEのMetalレンダラーにおける不適切なバッファサイズ指定が原因のバッファオーバーフロー脆弱性であり、メモリ破壊、クラッシュ、機密情報の漏えい、任意コード実行につながる可能性があります。
年初から、Googleは攻撃で悪用された他の7件のゼロデイ脆弱性を修正しています。11月、9月、7月には、GoogleのThreat Analysis Group(TAG)の研究者によって報告された、2件の積極的に悪用されているゼロデイ(CVE-2025-13223、CVE-2025-10585, およびCVE-2025-6558)に対処しました。
5月には、脅威アクターがアカウントを乗っ取ることを可能にしていたゼロデイ(CVE-2025-4664)に対処するための追加のセキュリティアップデートをリリースし、6月には、同じくGoogle TAGによって発見されたV8 JavaScriptエンジン内の別のゼロデイ(CVE-2025-5419)を修正しました。
3月には、Kasperskyによって報告された高深刻度のサンドボックスエスケープ脆弱性(CVE-2025-2783)にもパッチを適用しました。この脆弱性は、ロシア政府機関やメディアを標的としたスパイ攻撃で悪用されていました。
