Googleは、デスクトップ向けChromeブラウザの最新バージョン「Chrome 135」の安定版をWindows、macOS、Linux向けに公開しました。
本バージョンでは、14件のセキュリティ修正が含まれており、中でもナビゲーション機能に関連する深刻な脆弱性(CVE-2025-3066)の修正が注目されています。
脆弱性 CVE-2025-3066 とは?
この脆弱性は、Chromeのナビゲーション機能におけるuse-after-free(解放後使用)に起因するもので、オスロ拠点のセキュリティ研究者Sven Dysthe(@svn-dys)氏により発見されました。現時点では詳細な技術情報は公開されていませんが、同種の脆弱性はリモートコード実行やサンドボックス回避といった深刻な攻撃に悪用されることがあります。
Googleでは、十分なユーザー数がアップデートを適用するまで、脆弱性の詳細を非公開とするポリシーを取っています。
外部報告によるその他の脆弱性一覧(一部)
| CVE ID | 深刻度 | 対象コンポーネント | 研究者 | 報奨金 |
|---|---|---|---|---|
| CVE-2025-3066 | 高 | Navigations | Sven Dysthe (@svn-dys) | 未定 |
| CVE-2025-3067 | 中 | Custom Tabs | Philipp Beer (TU Wien) | $10,000 |
| CVE-2025-3068 | 中 | Intents | Simon Rawet | $2,000 |
| CVE-2025-3069 | 中 | Extensions | NDevTK | $1,000 |
| CVE-2025-3070 | 中 | Extensions(入力検証) | Anonymous | $1,000 |
| CVE-2025-3071~74 | 低 | 各種機能(詳細は表参照) | 複数研究者 | $500~$2,000 |
今回修正された脆弱性は、ナビゲーション、拡張機能、カスタムタブ、オートフィル、ダウンロード処理など、攻撃対象として頻繁に狙われるコア機能に関するものです。
対応バージョンと今後の対応
このアップデートにより、以下のバージョンが提供されています:
-
Linux:135.0.7049.52
-
Windows/macOS:135.0.7049.41/42
情報システム部門においては、エンドユーザーのChromeが最新バージョンに更新されているかどうかの確認と、企業内のソフトウェア資産管理(SAM)への反映が求められます。自動アップデートが無効化されている環境では、手動での適用を検討してください。
関連記事
VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた
中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む
EDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き
アップルップルが提供するa-blog cmsに重大な脆弱性
.mobi ドメインを20ドルで取得しドメイン管理者になってしまう 破壊的な脆弱性が確認
WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593)
macOS カーネルの脆弱性のPoC エクスプロイトが公開(CVE-2025-24118 )
Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)
Apple、極めて高度なサイバー攻撃に悪用された脆弱性を修正(CVE-2025-24201)