Google Chrome アップデートで深刻な脆弱性 CVE-2025-4096を含む8件のセキュリティ修正を実施

Googleは2025年4月29日、Chrome 136の安定版アップデートをWindows、Mac、Linux向けに公開しました。今後数週間かけて順次適用されます。

このアップデートでは、パフォーマンス向上やバグ修正とともに、8件のセキュリティ脆弱性に対する修正が含まれており、特に深刻度「高（High）」に分類されるCVE-2025-4096に対する修正が注目されています。

主な脆弱性：CVE-2025-4096（深刻度：高）

この脆弱性は、ChromeのHTMLレンダリングエンジンにおけるヒープバッファオーバーフローに起因するもので、匿名の研究者によって2025年4月11日に報告されました。
攻撃者は細工されたWebページを通じてこの脆弱性を悪用し、任意のコードを実行する可能性があります。すなわち、ユーザーのPC上でシステム権限を持った処理を実行させる恐れがあり、極めて危険です。

Googleはこの報告に対して報奨金5,000ドルを支払っています。

その他の修正された脆弱性一覧

以下の3件は、いずれもChromeの開発者ツール（DevTools）に関連する脆弱性です。

• CVE-2025-4050（中）：DevToolsにおけるメモリの範囲外アクセス（匿名報告）

• CVE-2025-4051（中）：DevToolsのデータ検証の不備（Daniel Fröjdendahlによる報告）

• CVE-2025-4052（低）：DevToolsにおける不適切な実装（vanillawebdevによる報告）

また、Google内部のセキュリティ監査、ファジング、静的解析などにより発見された複数の修正も同時に含まれています。

注意点と対応の推奨事項

Googleは、これらの脆弱性が第三者ライブラリにも影響する可能性があることから、詳細な技術情報の公開を一時的に制限しています。これは、すべてのユーザーにアップデートが行き渡るまでの間、悪用を防ぐための措置です。

情報システム部門への推奨対応：

• Chromeのバージョン確認： chrome://settings/help にアクセスし、バージョンが 136.0.7103.48/49（Windows/Mac）または 136.0.7103.59（Linux） であることを確認してください。

• 自動更新の有効化：企業内のエンドポイントにおいて、自動更新が有効になっているかを確認してください。

• セキュリティ監視との連携：SIEMなどを活用し、脆弱性悪用の兆候がないかログの監視を行うことが推奨されます。