Googleは火曜日、外部研究者によって報告された4件を含む6件の脆弱性に対するパッチを適用したChrome 140を安定版チャンネルでリリースしました。
最も深刻なバグはCVE-2025-9864で、Yandex Security Teamによって報告されたV8 JavaScriptエンジンにおける重大度の高いuse-after-freeの問題です。
Googleのアドバイザリによると、このセキュリティ欠陥に対するバグ報奨金は支払われず、パッチがほとんどのユーザーに行き渡るまで詳細は非公開とされます。
メモリ破損の一種であるuse-after-freeの脆弱性は、V8においてJavaScriptコードがメモリ解放後のオブジェクトにアクセスできてしまう場合に発生し、ヒープ破損を引き起こす可能性があります。
攻撃者は細工されたHTMLページを利用してヒープ破損を悪用し、リモートコード実行(RCE)を行う可能性があります。
外部研究者によって報告された残りの3件のセキュリティ欠陥は、Chromeのツールバー、拡張機能、ダウンロードコンポーネントにおける中程度の深刻度の不適切な実装バグです。
Googleはそれぞれに対して5,000ドル、4,000ドル、1,000ドルの報奨金を支払ったと述べています。拡張機能の脆弱性は2024年11月に報告されました。
最新のChromeバージョンは、WindowsおよびmacOS向けに140.0.7339.80/81、Linux向けに140.0.7339.80として順次展開されています。拡張安定版チャンネルもWindowsおよびmacOS向けにChrome 140.0.7339.81へと更新されています。
広告。スクロールして記事の続きをお読みください。
Googleは、これらの脆弱性が実際に悪用された形跡については言及していませんが、ユーザーにはできるだけ早くブラウザをアップデートすることが推奨されています。
関連記事: Sangoma、FreePBXサーバーのハッキングに悪用された重大なゼロデイ脆弱性にパッチを適用
関連記事: パスワードマネージャー、クリックジャッキングによるデータ窃取の脆弱性
翻訳元: https://www.securityweek.com/google-patches-high-severity-chrome-vulnerability-in-latest-update/