Googleは2025年5月14日、Chrome(クローム)のデスクトップ版(Windows、macOS、Linux)向けにバージョン136.0.7103.113/.114への安定版アップデートを発表しました。今回のアップデートには4件のセキュリティ修正が含まれており、そのうち2件は「高」リスクと分類されています。
中でも特に重要なのが、CVE-2025-4664という脆弱性であり、すでに実際の攻撃(“in the wild”)で悪用されていることがGoogleから明かされています。
目次
CVE-2025-4664:ポリシー強制処理の不備による深刻なバグ
この脆弱性は、Chrome内部の「Loader」においてセキュリティポリシーが不十分に適用される問題に起因し、攻撃者が任意のコードを実行したり、サンドボックスからの脱出が可能になる可能性があるとされています。セキュリティ研究者の**@slonser_**氏により2025年5月5日に発見されました。
Googleは「CVE-2025-4664に関する知識がすでに広く知られている」と公式に認めており、緊急の対応を呼びかけています。
CVE-2025-4609:Mojo IPCにおけるハンドル処理の不備
もう1件の高リスク脆弱性CVE-2025-4609は、ChromeのIPC(プロセス間通信)機構「Mojo」において、不特定の条件下で不正なハンドルが処理される問題に関係しています。この問題は、特権昇格やメモリ破損、セキュリティ制御のバイパスにつながる可能性があるとされ、報告者にはMicky氏が名を連ねています。
その他の修正とGoogleの取り組み
Googleは社内の監査、ファジング、静的解析ツール(AddressSanitizer、MemorySanitizer、libFuzzerなど)によって発見された複数のバグも今回のアップデートに含めており、安定版に到達する前に修正された多くの潜在的リスクを排除しています。
また、Googleは脆弱性の詳細を一時的に制限しており、第三者ライブラリに依存しているものについては、他プロジェクトの修正が完了するまで公開しない方針です。
利用者が取るべき対応
すべてのChromeユーザーに対して、以下のバージョンへの即時アップデートが強く推奨されています:
-
Windows/macOS:136.0.7103.113 または .114
-
Linux:136.0.7103.113
バージョンの確認は、Chromeのアドレスバーに「chrome://settings/help」と入力することで可能です。ここから自動的に更新の確認とインストールが行われます。
緊急性の高い脅威に迅速な対応を
CVE-2025-4664のように、すでに実際の攻撃で悪用されている脆弱性への対応は後回しにできません。Chrome利用者はただちにアップデートを行い、最新のセキュリティ状態を保つことが重要です。
また、Googleは今後も脆弱性への迅速な対応と透明性ある開示を継続していくとしています。興味のある技術者や利用者は、Chrome Security Pageで詳細情報を確認できます。
関連記事
Chromeの重大な脆弱性「CVE-2025-4664」、CISAが“既知の悪用対象脆弱性”に指定- 全ユーザーに早急なパッチ適用を推奨
Google Chrome アップデートで深刻な脆弱性 CVE-2025-4096を含む8件のセキュリティ修正を実施
EDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
ランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む
Google Chromeナビゲーション機能を含む複数の脆弱性を修正(CVE-2025-3066)
OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387)
Apple、旧版のiOS/macOSのゼロデイ 脆弱性へ修正パッチをリリース
ServiceNowが危険度の高い脆弱性(CVE-2024-8923およびCVE-2024-8924)を修正
