Googleは現地時間2025年12月16日、デスクトップ版Chromeの安定版チャネルを143.0.7499.146/.147(Windows/Mac)、および 143.0.7499.146(Linux) に更新したと発表しました。今後数日〜数週間かけて順次ロールアウトされます。
今回のアップデートでは、外部研究者から報告された2件のセキュリティ脆弱性が修正されています。Googleは、ユーザーの大部分が更新を完了するまで、詳細な技術情報や PoC へのリンクは非公開とする方針を従来通り維持しています。
目次
修正された主な脆弱性
WebGPUにおける Use After Free(CVE-2025-14765)
-
深刻度:High
-
報奨金:10,000ドル
-
報告者:匿名研究者
-
報告日:2025年9月30日
ブラウザからGPUを直接扱うための仕組み「WebGPU」に、メモリ解放後の領域へアクセスしてしまう Use After Free 脆弱性が存在していました。
この種の不具合は、細工されたWebページを閲覧しただけでブラウザがクラッシュしたり、状況によっては任意コード実行につながる可能性があります。
JavaScriptエンジン V8 の範囲外読み書き(CVE-2025-14766)
-
深刻度:High
-
報奨金:未定(TBD)
-
報告者:Shaheen Fazim 氏
-
報告日:2025年12月8日
JavaScriptエンジン「V8」に、メモリ領域の範囲外を読み書きしてしまうバグが見つかりました。
V8はほぼすべてのWebサイトの実行に関わる中核コンポーネントであり、攻撃に悪用された場合、ブラウザの異常終了や情報漏えい、さらにはサンドボックス回避の足がかりとなるリスクがあります。
関連記事
Google、Chromeのゼロデイ 脆弱性を修正-既に悪用の兆候
Google Chrome、定例アップデートで危険性の高い脆弱性を修正(CVE-2025-5419)
Google、Chrome 142 安定版公開-20件の脆弱性修正
Google、Chrome 142.0.7444へ緊急の更新
Google、ChromeにおけるV8エンジンの深刻な脆弱性を修正(CVE-2025-8010,CVE-2025-8011)
を悪用したサイバー攻撃を確認、今すぐ更新を-200x200.png)
Chrome安定版にゼロデイ-V8の脆弱性(CVE-2025-10585)を悪用したサイバー攻撃を確認、今すぐ更新を
Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)
Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正
Google Chromeナビゲーション機能を含む複数の脆弱性を修正(CVE-2025-3066)
