Googleは2025年6月2日、デスクトップ版ChromeブラウザのStableチャネルをバージョン137.0.7151.68/.69(Windows/Mac)、137.0.7151.68(Linux)に更新したと発表しました。今回のアップデートでは、外部研究者から報告された3件の脆弱性修正が含まれており、そのうち1件(CVE-2025-5419)は実際にサイバー攻撃への悪用されていることが確認されています。
また、定例アップデートですので最新の状態にしていれば、脆弱性に対処できますので定例アップデートの実施を社内通知する必要があります。
目次
修正された主な脆弱性
CVE-2025-5419(深刻度:High)
報告者:Google Threat Analysis GroupのClement Lecigne氏およびBenoît Sevens氏
内容:V8 JavaScriptエンジンにおけるOut-of-Bounds Read/Write
対応:2025年5月28日に、全ChromeプラットフォームのStableチャンネルに向けて設定変更により緩和策をリリース
備考:具体的な情報は開示されていませんが、Googleは本脆弱性について「実際に悪用されていることを確認している」としています。
CVE-2025-5068(深刻度:Medium)
報告者:セキュリティ研究者 Walkman 氏
内容:BlinkレンダリングエンジンにおけるUse-After-Freeの脆弱性
報告日:2025年4月7日
報奨金:1,000ドル
Googleは、これらの脆弱性に対する対応を通じて、ユーザーの安全性を確保するための継続的な取り組みを強調しています。
セキュリティ対策の裏側:Chromium Securityチームの取り組み
Chromeのセキュリティは、Google傘下のChromium Securityチームによって支えられています。彼らは以下のような多角的な手法でセキュリティを強化しています。
-
脆弱性の早期発見と修正
AddressSanitizer、MemorySanitizer、libFuzzerなどの静的解析・動的テストツールを用いて、開発段階から脆弱性を発見 -
安全設計の推進
Chromeは「セキュア・バイ・デザイン」を掲げ、開発段階から脅威に強い構造を取り入れています -
脆弱性報奨金制度(VRP)
一般の研究者が発見したバグにも報奨金を支払う制度を設け、外部からのセキュリティ強化を促進 -
透明性と協力
公開バグトラッカーや技術フォーラムを通じて、開発者や研究者との情報共有を活発に行っています -
埋め込み製品への事前通知制度
Chromiumをベースに製品を開発する企業向けに、脆弱性の事前通知も行っており、セキュリティ対策を迅速に進められる体制を整えています
ユーザーへの呼びかけ
Googleはユーザーに対して以下のアクションを推奨しています。
-
Chromeブラウザを最新バージョンにアップデートする
-
外部のWebサイトから提供される不審なファイルやスクリプトを実行しない
-
複数のブラウザやデバイスでの挙動に注意を払い、異常を感じたら報告する
特に、今回修正されたCVE-2025-5419のように「実際に悪用されている脆弱性」に対しては、迅速なアップデートが極めて重要です。
関連記事
Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正
Google Chrome アップデートで深刻な脆弱性 CVE-2025-4096を含む8件のセキュリティ修正を実施
Google Chromeの重大な脆弱性が修正、早急なアップデートを(CVE-2025-2476)
Google Chromeナビゲーション機能を含む複数の脆弱性を修正(CVE-2025-3066)
Chromeの重大な脆弱性「CVE-2025-4664」、CISAが“既知の悪用対象脆弱性”に指定- 全ユーザーに早急なパッチ適用を推奨
Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
GitLabとAtlassian、複数の高リスク脆弱性に対するパッチを公開:DoSや認証回避など影響(CVE-2025-0993)
TikTok(ティックトック)がアカウント 乗っ取りに悪用された脆弱性を修正
