Googleは、WindowsおよびmacOS版Chromeバージョン139.0.7258.154/155、Linux版Chromeバージョン139.0.7258.154の重大な脆弱性を修正しました。Googleによると、この脆弱性を悪用した攻撃はまだ確認されていないとのことです。他のChromiumベースのブラウザのメーカーも、今後数日以内に同様の修正を行うと予想されます。
Chromeリリースブログ記事で、Krishna Govind氏は削除された脆弱性(CVE-2025-9478)について説明しています。この脆弱性は外部のセキュリティ研究者によって発見されたかのように扱われていますが、発見者としてGoogle Big Sleepの名前が挙がっています。これは、セキュリティ脆弱性を検出するためのGeminiをベースにした「AI」ツールであり、人間の介入なしに脆弱性を独自に検出するように設計されています。
このような「AI」ツールによるセキュリティ上の発見は常に慎重に扱う必要があるため、専門家による二重チェックが行われます。GoogleはBig Sleepが誤診をする頻度に関する情報を提供していません。しかし、今回のケースではBig Sleepが誤診を犯していないことは明らかです。GoogleはCVE-2025-9478(Angleグラフィックライブラリにおけるメモリ使用後の脆弱性)を「重大」と分類しています。
Googleは1週間前のChromeのセキュリティアップデートで、Big Sleepによって発見されたセキュリティ脆弱性も修正しました。近い将来、「AI」によって生成されたプログラムコードのセキュリティ脆弱性を見つけるために、このような「AI」ツールが必要になるかどうかはまだ分かりません。
Chromeは通常、新しいバージョンが利用可能になると自動的に更新されます。メニュー項目「ヘルプ > Google Chromeについて」から手動で更新の確認を開始することもできます。GoogleはAndroid版Chrome 139.0.7258.158も提供しています。Android版では、デスクトップ版と同じ脆弱性が修正されています。
Google は来週中に Chrome 140 をリリースする予定だが、今週すでに少数のユーザーが試用している。
その他のChromiumベースのブラウザ
他のChromiumベースのブラウザのメーカーも、同様のアップデートを実施することが義務付けられています。Microsoft Edge、Brave、Vivaldiは現在、先週のセキュリティレベルを維持しています。ただし、VivaldiはChromium 139ではなく、Extended Stable ChannelのChromium 138を使用しています。
8月25日のクラッシュ修正アップデートにもかかわらず、Operaは依然として古いChromium 135を使用しています。Googleは4月末以降、このバージョンに対してアップデートを提供していません。Operaの次期バージョンはChromium 137(6月中旬リリース)を搭載していますが、まだベータテスト段階であり、Chrome 140のリリースとほぼ同時にリリースされる可能性があります。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: Frank Ziemann、PCWorld寄稿者
フランク・ジーマンは2005年から姉妹サイトPC-WELTでフリーランスライターとして活動し、ニュースやテストレポートを執筆しています。主なテーマはITセキュリティ(マルウェア、ウイルス対策、セキュリティギャップ)とインターネット技術です。
