1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)

Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)

セキュリティニュース

投稿日時: 更新日時:

Google が重大度が高いChromeを脆弱性修正 (CVE-2025-0444,CVE-2025-0445)

Google はChromeの12件の脆弱性を定例アップデートで修正を発表しました。なお内2件は重大度が高いChromeを脆弱性修正 (CVE-2025-0444,CVE-2025-0445)となります。アップデートは現在展開中で、今後数日から数週間にわたって継続されるとしています。

脆弱性 CVE-2025-0444について

133.0.6943.53 より前の Google Chromeの レンダリング エンジンであるSkiaのUse After Free により、リモートの攻撃者が細工した HTML ページを介してヒープ破損を悪用できる可能性がありました。

セキュリティの重大度は高となります。

2025-01-19に Francisco Alonso (@revskills) によって報告され、バグバウンティ制度により 7,000 ドル(約100万円)の報奨金が支払われる予定です。

脆弱性 CVE-2025-0445について

この脆弱性はV8 JavaScript エンジンで発生し、これにも use-after-free の問題であり、リモートの攻撃者が細工した HTML ページを介してヒープ破損を悪用できる可能性がありました。

この欠陥は 2025 年 1 月 27 日に「303f06e3」という匿名の研究者によって報告されました。

関連記事

Default Thumbnail半導体のArm製「Arm Ltd Bifrost GPU Kernel ドライバー」の脆弱性がUAFへの悪用の可能性(CVE-2024-4610 ) トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) 北朝鮮のIT労働者に脅かされる日本企業の調査レポート北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説 JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響 ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217)ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217) 7-ZipのMoTWセキュリティ回避する脆弱性が修正(CVE-2025-0411)7-ZipのMark-of-the-Webを回避する脆弱性が修正(CVE-2025-0411) 7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411)7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000)