Googleは日本時間2025年9月17日、デスクトップ向けStableチャネルを140.0.7339.185/.186(Windows/Mac)、140.0.7339.185(Linux)へ更新し、4件の脆弱性を修正しました。なかでもCVE-2025-10585(V8のType Confusion)はすでに悪用(in the wild)を確認しているゼロデイで、悪意あるWebページの閲覧だけで任意コード実行につながるおそれがあります。
なお、脆弱性の詳細はユーザーの大半に修正が行き渡るまで制限されています。
修正された主な脆弱性
-
CVE-2025-10585(High):V8における型混同脆弱性
報告:Google Threat Analysis Group(2025-09-16)。実際の悪用を確認。スクリプト実行基盤での型混同は境界突破からコード実行に直結し得るため、最優先での更新が必要です。 -
CVE-2025-10500(High):DawnにおけるUse-After-Free
報告:Giunash(Gyujeong Jin、2025-08-03)。報奨金$15,000。WebGPU基盤のメモリ解放後使用により、クラッシュや任意コード実行のリスク。 -
CVE-2025-10501(High):WebRTCにおけるUse-After-Free
報告:sherkito(2025-08-23)。報奨金$10,000。リアルタイム通信に影響し、セッション妨害やクラッシュの可能性。 -
CVE-2025-10502(High):ANGLEにおけるヒープバッファオーバーフロー
報告:Google Big Sleep(2025-08-12)。描画系でのメモリ破損は一般に悪用容易性が高く、レンダリング文脈でのリスクに注意。
企業・情シスの実務対応(優先度順)
-
即時アップデート適用と再起動
-
端末のChromeを140.0.7339.185/.186(Linuxは.185)へ。更新適用は再起動必須。
-
管理環境では強制再起動ポリシーの一時的引き上げを検討(業務影響時間帯を指定)。
-
-
更新カバレッジの可視化
-
構成管理/資産管理(例:MDM, Chrome Browser Cloud Management)でバージョン準拠率を可視化し、**SLA(24–48h以内90%以上など)**を設定。
-
-
高リスクユーザーの優先適用
-
ブラウジング面の露出が高い役員・営業・開発・CSから前倒し適用。
-








