Google は 2025年9月9日(米国時間)、デスクトップ向け Chrome 安定版を 140.0.7339.127/.128(Windows)/140.0.7339.132/.133(macOS)/140.0.7339.127(Linux) に更新し、2件の脆弱性(CVE-2025-10200/CVE-2025-10201)を修正しました。
更新は数日〜数週間かけて段階的に配信されます。
修正された脆弱性
-
CVE-2025-10200(重大/Critical):ServiceWorker における use-after-free。解放済みメモリ参照に起因する欠陥で、悪用されると任意コード実行やブラウザのクラッシュ、権限昇格に悪用され得ます。Service Worker はバックグラウンド処理(Push/キャッシュ等)を担うため、悪用時の影響範囲が広い点が特徴です。
-
CVE-2025-10201(高/High):Chrome の Mojo(IPC) 実装不備。プロセス間通信の前提が崩れると、サンドボックス回避や意図しない動作につながる可能性があります。
これらの脆弱性は外部研究者により報告され、報奨金は $43,000(CVE-2025-10200、重大)、$30,000(CVE-2025-10201、高) が支払われています。
関連記事
を悪用したサイバー攻撃を確認、今すぐ更新を-200x200.png)
Chrome安定版にゼロデイ-V8の脆弱性(CVE-2025-10585)を悪用したサイバー攻撃を確認、今すぐ更新を
KnowBe4 が身分偽装した北朝鮮エンジニアを雇用 マルウェアを仕掛けるのを発見
Google Chromeの定例アップデートで深刻な脆弱性(CVE-2025-4664)を修正、既に悪用確認済み-最新版への即時アップデートを推奨
CISAがGoogle Chromeのゼロデイ 脆弱性 CVE-2025-10585をKEVに追加-実運用で悪用確認 優先パッチ適用を勧告
DDoS攻撃とは?攻撃事例や防御策を解説
北朝鮮のIT労働者が企業に侵入し身代金を要求
の報奨-200x200.png)
Google、Chromeのサンドボックス脱出の脆弱性 発見者へ25万ドル(約3,675万円)の報奨
FirefoxのWebAssembly実装に深刻な脆弱性(CVE-2025-13016)
Google、Chrome 142 安定版公開-20件の脆弱性修正
