Google、Chromeの定例アップデートで高危険度の脆弱性を修正-CVE-2025-8880,CVE-2025-8901 他

セキュリティニュース

投稿日時: 更新日時:

Google、Chromeの定例アップデートで高危険度の脆弱性を修正-CVE-2025-8880,CVE-2025-8901 他

Googleは2025年8月12日、デスクトップ向けChromeの安定版をバージョン139.0.7258.127/.128(Windows/Mac)および139.0.7258.127(Linux)に更新しました。今回のアップデートでは、外部研究者から報告された重大な脆弱性を含む6件のセキュリティ修正が行われています。

高危険度の3脆弱性を修正

今回修正された中でも特に深刻なのは以下の3件です。

  • CVE-2025-8879(libaomのヒープバッファオーバーフロー)
    AV1動画コーデックライブラリ「libaom」において、メモリ境界を超えて書き込みが可能になる脆弱性。細工されたAV1動画を処理することで任意コード実行の恐れがあり、広く利用されているライブラリであるため影響範囲が広いとみられます。2025年7月15日に匿名研究者が報告。

  • CVE-2025-8880(V8のレースコンディション)
    ChromeのJavaScriptエンジン「V8」におけるマルチスレッド処理のタイミング不具合。悪用されるとサンドボックスを突破してコード実行が可能になる危険性があり、全タブ・全プロセスに影響します。2025年7月23日にSeunghyun Lee氏が報告。

  • CVE-2025-8901(ANGLEのアウトオブバウンズ書き込み)
    グラフィックス抽象化レイヤー「ANGLE」におけるメモリ破壊の脆弱性。悪意あるグラフィックスデータを処理することでブラウザのクラッシュや任意コード実行に至る可能性があります。2025年7月30日にGoogle Big Sleepが報告。

中危険度の2件も修正

あわせて以下の中程度の脆弱性も修正されています。

  • CVE-2025-8881:File Pickerの実装不備(Alesandro Ortiz氏報告)

  • CVE-2025-8882:AuraにおけるUse After Free(Umar Farooq氏報告)

Googleの対応と注意喚起

Googleは、多くのバグ詳細をユーザーの大多数がアップデートを適用するまで非公開とし、サードパーティライブラリ未修正の場合も制限を継続します。また、AddressSanitizerやfuzzingなどの内部セキュリティテストでも複数の不具合が修正されました。