「Chrome」と「Firefox」にセキュリティ更新--重大な脆弱性を修正
「Chrome」「Firefox」、あるいは両方のユーザーは、ウェブサーフィン時の安全を確保するため、改めてブラウザーをアップデートするタイミングだ。いずれも米国時間1月7日に公開された最新のバグ修正で、やっかいなセキュリティ脆弱性がいくつも解消されている。 Chromeユーザー 「Windows」版と「macOS」版はバージョン「31.0.6778.264/265」に、「Linux」版はバージョン「131.0.6778.264」にアップデートしよう。このアップデートには4件のセキュリティ脆弱性に対する修正が含まれている。 Googleがリリースで取り上げて説明しているのは、発見して報告したセキュリティ研究者にGoogleが5万5000ドル(約870万円)を支払った1件の脆弱性のみだ。重大なものであることがうかがい知れる。この脆弱性「CVE-2025-0291」は、ChromeのJavaScriptエンジン「V8」における型の取り違え(Type Confusion)だという。この種の脆弱性では、専用に作られたHTMLページを通じて悪意のコードをリモート実行されたり、コンピューター上でサービス拒否(DoS)攻撃を受けたりするおそれがある。 その他のバグの解消について、Googleは内部調査、「ファジング」と呼ばれるソフトウェアテスト手法などの取り組みに基づく修正だとしている。脆弱性を見つけた主なツールや手法として、Googleは「AddressSanitizer」「MemorySanitizer」「UndefinedBehaviorSanitizer」「Control Flow Integrity」「libFuzzer」「AFL」を挙げている。 Firefoxユーザー MozillaのFirefoxについては、バージョン「134」で11件のセキュリティ脆弱性が修正されており、うち3件の脆弱性は深刻度が高(high)、残りは中(moderate)と評価されている。 深刻度が高とされている脆弱性のうち、「CVE-2025-0244」は「Android」デバイス上のFirefoxに影響する。説明文によると、攻撃者によってリクエストを無効なプロトコルにリダイレクトされて、ブラウザーのアドレスバーを偽装され、違うURLに誘導されるおそれがあるという。 深刻度が高とされた残りの「CVE-2025-0242」と「CVE-2025-0247」は、Firefoxに加えてMozillaのメールクライアント「Thunderbird」にも影響する。Mozillaの説明によると、いずれもメモリーの安全性のバグであり、メモリー破損の証拠が見つかっている。この種のバグでは、リモートの攻撃者によって、メモリーの通常の領域の外でコードを読み書きされるおそれがある。Mozillaは、「一部のバグは、まともに取り組まれたら、任意コード実行に悪用される可能性があったと考えている」としている。 この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
