GoogleはChromeの重要なアップデートをリリースし、WindowsおよびmacOS向けのChromeの新バージョン138.0.7204.157/158、Linux向けのChrome 138.0.7204.157における複数の脆弱性を修正しました。Googleによると、脆弱性の1つは既に実環境で攻撃に悪用されているとのことです。他のChromiumベースのブラウザも、近日中に同様の修正を行う予定です。
Chromeリリースブログ記事で、Srinivas Sista氏は、外部のセキュリティ研究者によって発見されGoogleに報告された2つの脆弱性を列挙しています。Googleはこれらの2つの脆弱性(CVE-2025-7656およびCVE-2025-7657)を高リスクに分類しています。これらの脆弱性には、V8 JavaScriptエンジンの整数オーバーフローと、WebRTCコンポーネントのメモリ使用後(use-after-free)の脆弱性が含まれます。
Srinivas Sista氏は、潜在的に高いリスクを持つ3つ目の脆弱性、CVE-2025-6558も挙げています。このエラーの原因は、信頼できないユーザー入力(またはブラウザ外部から発信されたデータ)がANGLEグラフィックライブラリとGPUコンポーネントにおいて十分にチェックされていないことです。攻撃者はこれを悪用し、悪意のあるコードを挿入して実行することができます。Googleは、社内で発見されたその他の脆弱性については何も発表していません。
Chromeは通常、新しいバージョンが利用可能になると自動的に更新されます。メニュー項目「ヘルプ > Google Chromeについて」から手動で更新の確認を開始することもできます。GoogleはAndroid版Chrome 138.0.7204.157とiOS版Chrome 138.0.7204.156もリリースしており、デスクトップ版と同じ脆弱性が修正されています。
他のChromiumベースのブラウザのメーカーも、同様のセキュリティアップデートを実施することが義務付けられています。Microsoft Edge、Brave、Vivaldiは現在、Chromeのアップデート前のセキュリティレベルを維持しています。一方、Opera 120.0.5543.61は、4月にリリースされた古いChromium 135のままであり、多くのセキュリティ脆弱性が依然として残っています。
Googleは8月初めにChrome 139をリリースする予定です。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: Frank Ziemann、PCWorld寄稿者
フランク・ジーマンは2005年から姉妹サイトPC-WELTでフリーランスライターとして活動し、ニュースやテストレポートを執筆しています。主なテーマはITセキュリティ(マルウェア、ウイルス対策、セキュリティギャップ)とインターネット技術です。
