最新版Chrome公開 V8エンジンに関連した複数の脆弱性に対処：セキュリティニュースアラート

GoogleはChromeの安定版を更新し、V8エンジンに関する3件の重大な脆弱性を修正した。情報漏えいや任意コード実行の恐れがあり、ユーザーには早期の更新適用が推奨されている。

[後藤大地，有限会社オングス]

　Googleは2025年9月23日（現地時間）、デスクトップ版「Google Chrome」（以下、Chrome）の安定版チャンネルを更新し、「Windows」および「macOS」に「140.0.7339.207/.208」を、「Linux」に「140.0.7339.207」を公開した。数日から数週間かけて段階的に配布される。

　今回の更新には、外部研究者やGoogle Big Sleepが発見した3件のセキュリティ修正が含まれている。対象となるのはChromeの中核を担うJavaScriptエンジン「V8」とされている。

深刻度「緊急」も　JavaScriptエンジンV8に潜む複数の脆弱性を修正

　修正された脆弱（ぜいじゃく）性は次の通りだ。

• CVE-2025-10890：　V8におけるサイドチャネル情報漏えいの脆弱性。プログラムの動作時間や実行の挙動を分析することで、本来アクセスできないデータを推測される危険がある。共通脆弱性評価システム（CVSS）v3.1で9.1とされ、深刻度「緊急」（Critical）と評価されている（「Chromiumセキュリティ」では深刻度を重要《High》）としている）
• CVE-2025-10891、CVE-2025-10892：　V8に存在する整数オーバーフローの脆弱性。整数オーバーフローは計算結果が格納可能な範囲を超えた際に発生し、メモリ破損や予期せぬ挙動を引き起こす原因となる。悪意のあるJavaScriptコードを通じて攻撃される可能性があり、任意コード実行やWebブラウザのクラッシュに結び付く恐れがある。CVSSv3.1のスコアは8.8で深刻度「重要」（High）と評価されている

　Googleは修正が広くユーザー環境に展開されるまで詳細な不具合情報の公開を制限している。これは未更新環境を標的とする攻撃を防止するための措置と説明している。第三者ライブラリーに起因する問題についても、関連プロジェクトが対応を終えるまで制限を継続する場合があるとした。

　同社は日常的に、AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer、AFLといった解析手法やテスト環境を利用して脆弱性を検出している。今回の更新も、こうした取り組みによって多数の欠陥が安定版に到達する前に修正できた成果と述べている。

　Chromeの自動更新機能により、対象環境では順次修正版が適用されるが、ユーザーは設定メニューから手動で更新状況を確認できる。Webブラウザの利用者には、できるだけ早期に最新バージョンを適用することが推奨される。

　今回の更新で修正した3件はいずれも、攻撃者に悪用されると情報漏えいやシステムの不安定化につながる危険を含んでおり、Chromeの安全性を維持する上で欠かせない対応といえる。Googleは、今後も外部研究者との協力を継続しつつ安定した利用環境の確保に努める方針を示している。