「Google Chrome」にゼロデイ脆弱性、アカウント乗っ取りに悪用できてしまう可能性

「Google Chrome」にアップデート。Windows環境にv136.0.7103.113/.114が展開中

　米Googleは5月14日（現地時間）、デスクトップ向け「Google Chrome」の安定（Stable）チャネルをアップデートした。現在、Windows/Mac環境にv136.0.7103.113/.114が、Linux環境にv136.0.7103.113が展開中だ。

　本リリースは、原則週に1回実施されているセキュリティアップデート。今回は4件の脆弱性が修正されている。CVE番号が公開されているのは、以下の2件。

• CVE-2025-4664：Insufficient policy enforcement in Loader
• CVE-2025-4609：Incorrect handle provided in unspecified circumstances in Mojo

　深刻度の評価はいずれも4段階中上から2番目の「High」だが、「CVE-2025-4664」に関しては、「@slonser_」という「X」アカウントが「OAuth」フローでアカウント乗っ取りに悪用できる可能性をすでに指摘している。Googleも「CVE-2025-4664」に対するエクスプロイト（攻撃）が存在するとの報告を受けているとのことで、できるだけ早い対応が必要だ。

Query parameters can contain sensitive data - for example, in OAuth flows, this might lead to an Account Takeover.
Developers rarely consider the possibility of stealing query parameters via an image from a 3rd-party resource - which makes this trick surprisingly useful sometimespic.twitter.com/z2tCiBPTfR

— slonser (@slonser_)May 5, 2025

　そのほかにも、内部監査やファジングで見つかったさまざまな修正も含まれているとのこと。

　デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、Windows 10/11に対応している。すでにインストールされている場合は自動で更新されるが、設定画面（chrome://settings/help）にアクセスすれば手動でアップデート可能。アップデートを完全に適用するには、「Google Chrome」の再起動が必要だ。