Chromeが2つの重大なバグを修正:何が変わるのか、そしてどうやって身を守るのか

  • Google は、CVE-2025-10200 (重大) と CVE-2025-10201 (高) の XNUMX つの脆弱性に対するセキュリティ パッチをリリースしました。
  • この問題は ServiceWorker (解放後使用) と Mojo (不適切な実装) に影響し、コード実行やサンドボックス侵害のリスクがあります。
  • Windows、macOS、Linux 向けのアップデートが利用可能になりました。バージョンとアップデート手順の詳細が記載されています。
  • Edge、Brave、Opera、Vivaldi も影響を受ける可能性があります。バージョンを手動で確認することをお勧めします。
Isaac

4分

Chrome セキュリティアップデート

Googleは9月XNUMX日に セキュリティアップデート Chromeの修正 関連する2つの脆弱性1つは「緊急」、もう1つは「高」と分類されています。同社は、特に日常的に使用するデバイスにおいて、悪用されるリスクを最小限に抑えるため、できるだけ早くパッチをインストールすることを推奨しています。

両方のバグは8月にGoogleのリワードプログラムを通じて報告され、現在は公式の識別子が付けられています。 CVE-2025-10200 (批判)と CVE-2025-10201 (高)。影響は様々ですが、どちらも攻撃シナリオへの扉を開くものであり、 即時更新.

Chromeの緊急アップデート

Chromeのセキュリティパッチ

重大な失敗は、 CVE-2025-10200は、ServiceWorkerコンポーネントにおけるメモリ使用後のエラーです。簡単に言うと、ブラウザは メモリはすでに解放されていますデータの破損を引き起こしたり、 任意のコードの実行 他の技術と組み合わせた場合。

攻撃者は悪意のあるサイトを作成し、Chromeでアクセスすると被害者のシステム上でコードが実行される可能性があります。このベクトルは、 特別に設計されたウェブコンテンツは、ユーザーと組織にとってこの脆弱性へのパッチ適用を優先するものとなっています。

2回目の失敗: Mojoで重大度が高い

2つ目の脆弱性は、 CVE-2025-10201は、Chromiumがプロセス間通信に使用するライブラリ群であるMojoにおける不適切な実装として説明されています。主なリスクは、攻撃者が サンドボックスを弱体化または危険にさらす ブラウザの重要なコンポーネントである、プロセスを分離して攻撃の範囲を制限する機能です。

実際の効果はすべて公開されているわけではありませんが、Mojoのこの種の欠陥は、より複雑な攻撃チェーンを助長する可能性があります。そのため、パッチを遅滞なく適用し、 インストールされているバージョンを確認してください すべてのチームで。

修正されたバージョンとアップデート方法

Googleは、Windows、macOS、Linux向けに両方のバグを修正したバージョンをリリースしました。ブラウザが自動的に更新されていない場合は、更新してください。 手動で確認および更新する:

  • Windows: 140.0.7339.127 / .128
  • MacOSの: 140.0.7339.132 / .133
  • Linux: 140.0.7339.127

Chrome(デスクトップ)で強制的に更新する手順: メニュー > ヘルプ > Google Chrome 情報ブラウザは利用可能な最新のビルドを確認し、利用可能な場合はダウンロードを開始します。

  • 右上にある3つのドットのメニューを開きます。
  • ヘルプに移動します。
  • 「Google Chrome について」を選択します。
  • ダウンロードを待って押してください 再起動 リクエストがあれば。

このプロセスは通常 ほんの数秒再起動後、バージョン番号が修正されたビルドと一致していることを確認し、パッチが正しく適用されていることを確認します。

その他のChromiumベースのブラウザ

欠陥は Chromium、ブラウザのような Microsoft Edge、Brave、Opera、Vivaldi 影響を受ける可能性があります。開発者がパッチをリリースするのはよくあることです 24~48時間以内 Google の投稿以来ですが、手動で確認することをお勧めします。

これらのブラウザを使用している場合は、設定メニューから強制的にアップデートを確認するようにしてください。最新の状態にしておくことで、攻撃対象領域が大幅に減少し、 不必要なセキュリティ問題.

発見の報酬と年表

重大な障害報告は ルーベン・ヤン 22月43.000日、GoogleからXNUMX万XNUMXドルの報奨金が支払われた。この深刻度の高い脆弱性は、 サハン・フェルナンド 匿名の研究者とともに、30.000万ドルの報奨金が支払われた。

Googleは9月XNUMX日に公式声明を発表し、修正プログラムが利用可能になったことを詳細に説明しました。修正プログラムを入手するには、Chromeアップデータ自体、または Googleのウェブサイト; サードパーティのソースは避けてください。

簡単な質問

Chrome のモバイル バージョンに影響しますか?

提供された情報によると、これらの修正の範囲は Windows、macOS、Linux デスクトップ。モバイルデバイスへの影響は確認されていません。

更新しないとどんなリスクがありますか?

コード実行の危険にさらされたり、 孤立を打破する ブラウザのパフォーマンス低下やプライバシー侵害に加え、

拡張機能も更新する必要がありますか?

これらはこれら2つのCVEとは関係ありませんが、保持することをお勧めします。 常に更新される 追加の攻撃ベクトルを防ぐためです。

鍵となるのはシンプルです。ChromeとChromiumベースのブラウザを修正バージョンに維持し、インストールされたビルドを検証し、 公式情報源パッチを適用すると、Windows、macOS、Linux システムで CVE-2025-10200 および CVE-2025-10201 に関連するリスクが軽減されます。

クローム80
関連記事
Chrome 80には、多くのセキュリティ修正とこれらの他のニュースが付属しています