GoogleとMozillaは火曜日、重大な脆弱性の修正を含むChromeおよびFirefoxの新たなパッチを発表しました。
新しいChrome 139バージョンがリリースされ、V8 JavaScriptエンジンにおける重大なアウトオブバウンズ書き込みの問題(CVE-2025-9132として追跡)が解決されました。
この問題は細工されたHTMLページを使ってリモートから悪用される可能性があり、Google DeepMindとProject Zeroが2024年11月に開始したGoogleのBig Sleep AIエージェントによって発見されました。
インターネット大手はCVE-2025-9132の詳細を公表していませんが、先月Big Sleepが攻撃者が既に知っていて攻撃に利用しようとしている脆弱性を発見できると述べており、業界がその悪用を阻止することを可能にしています。
V8の脆弱性に対する修正は、WindowsおよびmacOS向けのChromeバージョン139.0.7258.138/.139、Linux向けのバージョン139.0.7258.138に含まれており、まもなく全ユーザーに提供される予定です。
火曜日、MozillaはFirefoxの9件のセキュリティ欠陥(うち5件は「高」深刻度)に対するパッチを公開しました。これらのバグの一部を修正するため、ThunderbirdおよびFirefox ESRの新バージョンもリリースされました。
重大な脆弱性には、GMPプロセスにおけるメモリ破損によるサンドボックス回避(CVE-2025-9179)、グラフィックスコンポーネントにおける同一生成元ポリシーのバイパス(CVE-2025-9180)、リモートコード実行につながる可能性のある複数のメモリ安全性バグ(CVE-2025-9187、CVE-2025-9184、CVE-2025-9185)が含まれます。
今回のFirefoxリリースで修正されたその他の脆弱性には、中程度の深刻度の未初期化メモリ問題、低深刻度のなりすましおよびサービス拒否(DoS)バグが含まれます。
広告。スクロールして記事の続きをお読みください。
これらのセキュリティホールの修正は、Firefox 142、Thunderbird 142、Thunderbird 140.2、Thunderbird 128.14、Firefox for iOS 142、Focus for iOS 142、Firefox ESR 140.2、Firefox ESR 128.14、Firefox ESR 115.27に含まれています。
GoogleとMozillaは、これらの脆弱性が実際に攻撃で悪用されたという言及はしていませんが、ユーザーにはできるだけ早くブラウザやメールクライアントをアップデートすることが推奨されています。
関連記事: Chromeサンドボックス回避で研究者が25万ドル獲得
関連記事: Google Project Zero、新方針でアップストリームパッチギャップに対応
翻訳元: https://www.securityweek.com/high-severity-vulnerabilities-patched-in-chrome-firefox/