Googleは2025年6月10日、Chromeブラウザの最新安定版(バージョン137.0.7151.103/.104)の配信を開始しました。今回のアップデートは、セキュリティ面で非常に重要な意味を持っています。というのも、外部の研究者によって報告された「高リスク」な脆弱性2件に対する修正が含まれているからです。
目次
発見されたのは“よくあるが危険”な2つの脆弱性
今回修正された脆弱性のひとつは、「Use-After-Free」と呼ばれるメモリの扱いに関する問題です(CVE-2025-5958)。Chromeのメディア処理部分にあるこの不具合は、本来解放されたはずのメモリに再度アクセスしてしまうもので、悪用されれば任意のコードを実行されてしまう恐れがあります。
もうひとつの脆弱性(CVE-2025-5959)は、ChromeのJavaScriptエンジン「V8」に存在する「Type Confusion」。これはデータの型が想定外に扱われてしまうことで、メモリ破壊やセキュリティ機構の回避につながる可能性があります。
こうした脆弱性は、専門家の間では比較的“なじみ深い”ものですが、そのぶん攻撃手法も確立されており、実際のサイバー攻撃に利用されやすいという現実があります。
発見者は外部のセキュリティ研究者 報奨金も支給
CVE-2025-5958を発見したのは、中国Ant Group傘下のLight-Year Security Labに所属するHuang Xilin氏。Googleはこの報告に対して8,000ドルの報奨金を支払いました。
もう一つのCVE-2025-5959は、セキュリティコンテスト「TyphoonPWN 2025」に参加したSeunghyun Lee氏によって報告されたものです。こうしたセキュリティ大会での発見が、実際に製品の安全性向上に活かされている好例です。
なぜ“情報非公開”なのか? Googleの慎重な対応
Googleは、こうした脆弱性に関する技術的な詳細をすぐには公開しません。これは、まだアップデートを適用していないユーザーを守るため。仮に攻撃者がパッチ内容から脆弱性の詳細を逆算し、悪用してしまえば、被害は一気に広がります。
そのためGoogleは、「多くのユーザーが最新バージョンに更新されるまで」、情報の公開を制限するという方針を取っています。
ユーザーがすべきことはシンプル:今すぐ更新を
今回のアップデートは、WindowsやMac向けには137.0.7151.103または.104、Linux向けには137.0.7151.103が配信されています。Chromeを利用している方は、設定メニューの「ヘルプ」→「Google Chromeについて」から手動で更新を確認し、すぐに適用することを強くおすすめします。
特に、「変なサイトを見なければ大丈夫」と思っている方ほど要注意です。こうした脆弱性は、普通の広告や一見安全なサイトに仕込まれることもあり、日常のブラウジングだけで被害に遭う可能性があります。








