記事本文(要約)
GoogleとMozillaは、合計21の脆弱性に対応するパッチを提供するChrome 137とFirefox 139をリリースしました。このうち3件は高危険度と評価されています。
Chrome 137では11件のセキュリティ修正が行われ、そのうち8件は外部の研究者による報告に基づいています。特に、CVE-2025-5063のCompositingにおけるuse-after-free問題と、CVE-2025-5280のV8 JavaScriptエンジンにおける範囲外書き込みの2件が高危険度のメモリ安全性の問題です。これらの脆弱性を悪用すると任意コードの実行やアプリのクラッシュが発生する可能性があり、システムの欠陥と組み合わせるとサンドボックスの脱出につながる恐れがあります。
Firefox 139は、メモリ破損とクラッシュを引き起こす可能性のある高危険度のダブルフリー問題を含む計10件の脆弱性に対処しています。また、クロスオリジンリークアタックやメモリ破損など、中程度の脆弱性も修正されています。
ユーザーはこれらの脆弱性が悪用される可能性があるため、できるだけ早くブラウザの更新を行うことが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 28 May 2025 11:36:16 +0000
Original URL: https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities/
詳細な技術情報
以下は、Google Chrome 137とMozilla Firefox 139のリリースに伴う脆弱性についての分析です。
CVE番号と脆弱性の詳細
- Google Chrome 137
- CVE-2025-5063: CompositingにおけるUse-After-Free脆弱性。メモリが解放された後に再利用されることで、任意のコード実行やアプリケーションのクラッシュを引き起こす可能性がある。
- CVE-2025-5280: V8 JavaScriptエンジンにおけるアウトオブバウンズ書き込みの脆弱性。バッファの範囲外にデータを書き込むことで、メモリ破壊や任意のコード実行を引き起こす可能性がある。
- Mozilla Firefox 139
- ダブルフリー問題: libvpxにおけるダブルフリー脆弱性。メモリ解放処理の二重実行により、メモリ破壊やクラッシュが発生し、場合によっては任意のコードが実行される可能性がある。この脆弱性にはCVEがまだ割り当てられていない。
攻撃手法
- Chromeの場合: Use-After-Freeやアウトオブバウンズ書き込みの脆弱性は、攻撃者が特別に作成したWebページをユーザーに閲覧させることによって悪用される可能性がある。このような攻撃は、任意のコード実行につながり得る。
- Firefoxの場合: ダブルフリー問題やその他のメモリ破壊の脆弱性は、悪意のあるメディアコンテンツや複雑なWebコンテンツを使用して攻撃者に利用される可能性がある。
潜在的な影響
- 任意コードの実行: 成功した攻撃により、攻撃者がシステム上で任意のコードを実行する可能性がある。
- クラッシュ: ブラウザやシステムがクラッシュし、ユーザーの作業が中断される可能性がある。
- 情報漏洩: XS-Leaksなどの手法によって、ユーザーの機密情報が漏洩する可能性がある。
推奨される対策
- ブラウザの即時更新: 今回の脆弱性は未だ悪用されていないが、問題が公表されたため、攻撃者がそれを利用し始める前にブラウザを最新版に更新することが重要である。
- セキュリティ設定の見直し: クロスオリジンリソース共有(CORS)ポリシーやサンドボックス設定を適切に構成し、セキュリティを強化する。
- サンドボックス化: ブラウザそのもののサンドボックス環境を有効にし、システム全体への影響を最小限に抑える。
- アンチウイルスソフトの活用: 最新のウイルス定義に基づくスキャンを行い、マルウェアからシステムを保護する。
