Google、Chromeのゼロデイ脆弱性を修正-既に悪用の兆候|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年12月12日更新日時: 2025年12月12日

Googleは現地時間2025年12月10日、デスクトップ向けChromeの安定版チャネルを以下のバージョンに更新しました。

1 概要
2 修正された主な脆弱性
3 Googleの開示ポリシーと今回の意味合い

概要

数日〜数週間かけて順次ロールアウトされる想定です。このリリースでは3件のセキュリティ修正が含まれており、そのうち1件についてはすでに実際の攻撃で悪用されている（in the wild）ことがGoogleから明言されています。

Chromeチームは、十分なユーザーがアップデートを適用し終わるまで、詳細なバグ情報へのアクセスを意図的に制限するとしており、ゼロデイ相当の問題が含まれていると見ておいたほうが良い状況です。

対象

Windows / macOS：143.0.7499.109 / .110
Linux：143.0.7499.109

修正された主な脆弱性

今回公表されている3件のうち、外部研究者から報告され、CVEが付与されているものは2件です。残り1件は調整中（Under coordination）で、詳細は非公開ですが、既に悪用が確認されている重要なバグとして扱われています。

既に悪用が確認されている脆弱性（ID: 466192044）

区分：High（重大）
状態：Under coordination（詳細非公開）
備考：Googleはこのバグを悪用するエクスプロイトが「既に野放しで使われている」と明言

現時点でCVE番号や技術的な詳細は公開されていませんが、「悪用を認識済み」と公式に書かれている以上、実運用環境では最優先でアップデートしたい内容です。

どのコンポーネントの問題かは明かされていませんが、Chromeに対する攻撃は一般的に、

ドライブバイダウンロード
悪意あるWebサイト閲覧
埋め込みiframeや広告経由

などと組み合わされ、ユーザーに特別な操作をさせずにブラウザ経由でコード実行や情報窃取につなげるケースが多いため、バージョン更新そのものが最大の防御になります。

CVE-2025-14372：Password Managerのuse-after-free

深刻度：Medium
コンポーネント：Password Manager
内容：use-after-free脆弱性
報告者：Weipeng Jiang (@Krace) 氏（VRI）
報告日：2025-11-14
報奨金：2,000ドル

Password Manager（パスワードマネージャ）に存在する**use-after-free（解放後メモリ利用）**の脆弱性です。
use-after-freeはメモリ破壊につながる典型的なバグであり、条件が揃えば、

任意コード実行
ブラウザコンテキスト内の情報窃取

などに悪用される可能性があります。

Password Managerは、保存済みパスワードのオートコンプリートや保管・呼び出しの中心機能です。ブラウザプロセス内でこの部分に脆弱性がある場合、保存済み資格情報へのアクセスやブラウザ乗っ取りにつながるリスクも考えられるため、たとえ「Medium」評価であっても軽視すべきではありません。