GoogleとMozillaは今週、複数の高深刻度の脆弱性に対応するChromeおよびFirefoxブラウザのアップデートをリリースしました。
Googleは、Chrome 141を安定版チャンネルに昇格し、21件のセキュリティ修正を含めました。そのうち12件は外部の研究者によって報告されたセキュリティ欠陥で、報告者には合計5万ドルの報奨金が支払われました。
外部から報告されたバグのうち2件(CVE-2025-11205およびCVE-2025-11206として追跡)は、ChromeのWebGPUおよびVideoコンポーネントに影響を与える高深刻度のヒープバッファオーバーフロー問題です。
Googleによると、WebGPUの脆弱性に対しては、9月初旬にOUSPGのAtte Kettunen氏から報告を受け、2万5千ドルのバグ報奨金が支払われました。
Chrome 141では、他にも8件の中程度の深刻度の脆弱性が修正されています。これには、StorageおよびTabにおけるサイドチャネル情報漏洩、MediaおよびOmniboxの不適切な実装、Mediaの範囲外読み取りの欠陥、V8 JavaScriptエンジンのオフバイワンエラーが含まれます。
外部研究者によって報告された残りの2件のセキュリティホールは、ChromeのStorageコンポーネントおよびV8エンジンに影響する低深刻度の問題です。
最新のChromeバージョンは、Linux向けには141.0.7390.54、WindowsおよびmacOS向けには141.0.7390.54/55として展開されています。Android向けにはChrome 141.0.7390.43にもパッチが含まれています。
Mozillaは今週、Firefox 143.0.3をリリースし、GraphicsおよびJavaScript Engineコンポーネントの2件の高深刻度の欠陥を修正しました。
広告。スクロールして読み続けてください。
Graphicsの脆弱性(CVE-2025-11152として追跡)は、サンドボックスからの脱出につながる可能性のある整数オーバーフロー問題です。JavaScript Engineの脆弱性(CVE-2025-11153として追跡)は、JITの誤コンパイルとして説明されています。
GoogleもMozillaも、これらの脆弱性が実際に悪用されたという報告はしていませんが、ユーザーにはできるだけ早くブラウザをアップデートすることが推奨されています。
関連記事: Chrome 140アップデートで2025年6件目のゼロデイを修正
関連記事: OpenSSLの脆弱性で秘密鍵の復元・コード実行・DoS攻撃が可能に
翻訳元: https://www.securityweek.com/chrome-141-and-firefox-143-patches-fix-high-severity-vulnerabilities/
