Googleは、Chromeの2つのセキュリティ脆弱性に対処する追加パッチを公開しました。いずれも、ユーザーが特別に細工された悪意あるWebページを訪れると、攻撃者がリモートから発動できる可能性があります。
Chromeは推定34億人のユーザーを抱える、世界で圧倒的に最も人気のあるブラウザです。そのため、巨大な標的になります。Webサイトを訪れるだけで発動できるセキュリティ上の欠陥がChromeにある場合、更新するまでの間、数十億人のユーザーが危険にさらされます。
だからこそ、これらのパッチを速やかに適用することが重要です。未修正のままでは、Webを閲覧しているだけでリスクにさらされる可能性があります。攻撃者は、多くのユーザーが更新する前に、ブラウザの脆弱性を素早く悪用しようとすることがよくあります。Chromeには常に自動更新を許可し、再起動を先延ばしにしないでください。更新は通常、まさにこの種のリスクを修正するためのものです。
Chromeを更新する方法
最新のバージョン番号は、WindowsおよびmacOSが 143.0.7499.146/.147、Linuxが 143.0.7499.146 です。したがって、Chromeが 143.0.7499.146以降 であれば、これらの脆弱性から保護されています。
最も簡単な更新方法はChromeの自動更新を許可することですが、ブラウザを一度も閉じない場合や、拡張機能がブラウザの更新を妨げるなど何らかの不具合が起きた場合、更新が遅れることがあります。
手動で更新するには、 その他 メニュー(3つの点)をクリックし、 設定 > Chromeについてに移動します。更新が利用可能な場合、Chromeがダウンロードを開始します。更新を完了するにはChromeを再起動してください。これで、これらの脆弱性から保護されます。
また、当社のガイド「あらゆるOSでChromeを更新する方法」でも、手順をステップごとに確認できます。
技術的詳細
脆弱性のうち1件は、グラフィックス処理やゲームなどに加え、AIや機械学習アプリケーションにも利用されるWebGPUのWebグラフィックスAPIで見つかりました。この脆弱性はCVE-2025-14765として追跡されており、use-after-free(解放後使用)の脆弱性です。細工されたHTMLページを介してヒープ破損を悪用できる可能性があり、リモート攻撃者に悪用されるおそれがあります。
use-after-freeは、プログラムの動作中に動的メモリを誤って使用することで発生する脆弱性の一種です。メモリ領域を解放した後に、そのメモリへのポインタをプログラムがクリアしない場合、攻撃者がその誤りを利用してプログラムを操作できる可能性があります。
ヒープ破損は、プログラムが誤ってアロケータのヒープに対する見え方を損なうことで発生し、メモリに予期しない変更が生じる可能性があります。ヒープは、動的メモリ割り当てに使用されるメモリ領域です。
もう1件の脆弱性は、CVE-2025-14766として知られ、(またしても)V8エンジンで、境界外読み取りおよび書き込み(out-of-bounds read/write)として見つかりました。
V8はGoogleがJavaScript処理のために開発したエンジンで、これまでにも相応以上の数のバグが見つかっています。
境界外読み取りおよび書き込みの脆弱性は、攻撃者が本来アクセスできないはずのデバイスのメモリ領域の一部を操作できる可能性があることを意味します。この種の欠陥により、プログラムが設定した境界の外側を読み書きできてしまい、より重要な機能に割り当てられた他のメモリ領域を攻撃者が操作できるようになります。攻撃者は、システムが実行するメモリ領域にコードを書き込み、プログラムやユーザーが本来持つべきではない権限で実行させる可能性があります。
このケースでは、エンジンが悪意あるWebサイトのような、特別に細工されたHTMLコンテンツを処理する際に、この脆弱性が悪用される可能性があります。
