セキュリティ

SECURITY

公開：2025-04-25

【CVE-2025-3620】Google ChromeのUSB機能に深刻な脆弱性、ヒープメモリ破損のリスクで即時アップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google Chromeに深刻なUSB関連の脆弱性が発見
• Chrome 135.0.7049.95未満のバージョンが対象
• ヒープメモリ破損の可能性がある高リスクの脆弱性

Google Chrome 135.0.7049.95未満のバージョンにおけるUSB関連の脆弱性

Googleは2025年4月16日、Google Chromeのデスクトップ版において、USBに関連する深刻な脆弱性【CVE-2025-3620】を公開した。この脆弱性は特別に細工されたHTMLページを通じて悪用される可能性があり、Chrome 135.0.7049.95未満のバージョンで確認されている。^[1]

この脆弱性はUse-after-free（解放済みメモリ参照）の問題であり、リモートの攻撃者がヒープメモリの破損を引き起こす可能性がある。CVSSスコアは8.8（High）と評価されており、機密性、完全性、可用性のすべてにおいて高い影響度を示している。

NVDの評価によると、この脆弱性の攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは不要だが、ユーザーの関与が必要とされており、影響の想定範囲にも変更がある可能性が指摘されている。

Google Chrome脆弱性の詳細情報まとめ

Use-after-freeについて

Use-after-freeとは、プログラムがメモリを解放した後にそのメモリ領域にアクセスしようとする脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 解放済みのメモリ領域を参照することによって発生する深刻な脆弱性
• 攻撃者によるコード実行やメモリ破損につながる可能性がある
• バッファオーバーフローと並んで最も一般的なメモリ破壊の脆弱性の一つ

Google Chromeで発見されたこの脆弱性は、USB関連の機能においてUse-after-freeの問題が存在することが確認されている。攻撃者は特別に細工されたHTMLページを通じてこの脆弱性を悪用し、ヒープメモリの破損を引き起こす可能性があるため、早急なアップデートが推奨される。

Google Chrome脆弱性に関する考察

この脆弱性の発見は、Webブラウザのセキュリティ強化における重要な進展を示している。USBデバイスとの連携機能は利便性を高める一方で新たな攻撃ベクトルとなる可能性があり、特にリモート攻撃が可能な脆弱性は深刻な影響をもたらす可能性があるだろう。

今後は同様の脆弱性を防ぐため、USB関連機能のセキュリティ設計の見直しが必要になると考えられる。特にメモリ管理の厳格化やサンドボックス機能の強化など、複数の防御層を組み合わせたセキュリティ対策の実装が重要になってくるだろう。

また、Chromeのアップデートサイクルやセキュリティパッチの配布方法についても検討が必要かもしれない。自動アップデート機能の更なる改善や、企業ユーザー向けの脆弱性情報の提供方法の最適化など、より効果的なセキュリティ対策の展開が期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3620」. https://www.cve.org/CVERecord?id=CVE-2025-3620, (参照 25-04-25).
1091
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧