Dec 17, 2025

Google Chrome, Out of bounds memory access (CVE-2025-14174)

CVE Record: CVE-2025-14174 (12/12)


KEVカタログに載っている ↓ 

『Google Chromium Out of Bounds メモリアクセスの脆弱性:Google Chromium には、ANGLE における範囲外のメモリアクセスの脆弱性が含まれており、リモート攻撃者が作成されたHTMLページを介して帯域外へのメモリアクセスを実行できる可能性があります。この脆弱性は、Google Chrome、Microsoft Edge、Operaなど、Chromiumを利用している複数のWebブラウザに影響を与える可能性がある。
ランサムウェアキャンペーンで使用されていることは知られていますか?不明
Action:対応:ベンダーの指示に従って緩和策を適用する、クラウドサービスに関する適用されるBOD 22-01ガイドラインに従う、または緩和策が利用できない場合は製品の使用を中止する。』 (機械翻訳)

『Google is aware that an exploit for CVE-2025-14174 exists in the wild.』


ブラウザだけでなく、OSアップデートも必要な理由、AIの翻訳・説明 ↓

『リンク先の記事(Apple セキュリティアップデート)と、ご指摘の脆弱性 CVE-2025-14174 について解説します。
結論から申し上げますと、「Chromeだけでなく、OS(iOS, macOS等)自体のアップデートも必須」 です。
単にブラウザをアップデートするだけでは不十分な理由と、今回の脆弱性の特殊な背景について整理しました。
1. なぜ「Chrome」以外もアップデートが必要なのか?
今回の CVE-2025-14174 は、Google Chrome で使われているエンジン(Chromium)と、Apple製品の標準エンジン(WebKit)の両方に共通する**「ANGLE」という描画ライブラリ**のバグが原因です。
Apple製品において、OSのアップデートが必要な理由は主に2つあります。
  • iOS/iPadOS の「ブラウザ制限」:
    iPhoneやiPadでは、ChromeやFirefoxなどのサードパーティ製ブラウザも、内部的には Apple の WebKit を使用してWebページを表示しています。そのため、OSをアップデートして WebKit 自体を修正しない限り、どのブラウザを使っていても脆弱性の影響を受けてしまいます。
  • システム全体での利用:
    WebKit はブラウザだけでなく、メールアプリでのプレビューや、アプリ内のニュース表示など、システム全体のさまざまな場所で使われています。Safariを使わなくても、悪意のあるコンテンツを処理した瞬間に脆弱性を突かれるリスクがあるため、OS全体の更新が必要です。
2. 今回の脆弱性の特徴(CVE-2025-14174)
今回の問題は「メモリ破損」を引き起こすもので、以下の点が非常に重要視されています。
  • ゼロデイ攻撃: すでにこの脆弱性を悪用した、特定の個人を狙った「極めて巧妙な攻撃」が確認されています。
  • 共同修正: GoogleとAppleが共同で特定し、異例のタイミングで両社から同時に修正パッチが出されました。
3. 対象となるOSとバージョン
お使いのデバイスが以下のバージョン(またはそれ以降)になっているか確認してください。
デバイス
アップデート後のバージョン
iPhone / iPad
iOS 26.2 または iOS 18.7.3
Mac (最新OS)
macOS Tahoe 26.2
Mac (旧OS用)
Safari 26.2 (Sonoma / Sequoia向け)
Apple Watch
watchOS 26.2
Apple TV
tvOS 26.2
次にすべきこと
お使いのデバイス(iPhoneやMac)の 「設定」 > 「一般」 > 「ソフトウェア・アップデート」 を開き、最新のパッチが適用されているか今すぐ確認することをお勧めします。

上記のAI解説にiOS 26.2が唐突に登場する(その上のApple記事には登場しない)のだが、26.2も選択肢のひとつということらしい。

投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)