2025-10-30
Chromiumブラウザに致命的な脆弱性、Googleは未修正
ChromiumのBlinkレンダリングエンジンに致命的な脆弱性が発見され、これにより多くのChromiumベースのブラウザが数秒でクラッシュする可能性があります。この脆弱性は、セキュリティ研究者のホセ・ピノ氏によって発見され、Proof of Concept(PoC)として「Brash」が作成されました。現在、Googleはこの問題に対する修正を行っていないため、影響を受けるブラウザのユーザーは注意が必要です。
メトリクス
このニュースのスケール度合い
10.0
/10
インパクト
5.5
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースで行動が起きる/起こすべき度合い
5.0
/10
主なポイント
- ✓ ChromiumのBlinkエンジンに存在する脆弱性により、数秒でブラウザがクラッシュする可能性があります。
- ✓ この脆弱性は、ドキュメントタイトルの更新に対するレート制限がないことに起因しています。
社会的影響
- ! この脆弱性により、ユーザーは作業中のデータを失う可能性があり、特に未保存のコンテンツがある場合に影響が大きいです。
- ! 攻撃者が悪意のあるJavaScriptコードを使用して、任意のウェブページにこの脆弱性を悪用する可能性があるため、広範な影響が懸念されます。
編集長の意見
この脆弱性は、Chromiumベースのブラウザにとって非常に深刻な問題です。特に、ドキュメントタイトルの更新に対する制限がないことが、攻撃者にとっての大きな隙間を生んでいます。攻撃者は、特定の条件下でブラウザをクラッシュさせることができ、ユーザーの作業を妨害する可能性があります。さらに、攻撃が成功すると、ユーザーは未保存のデータを失うリスクが高まります。これは、特にビジネス環境において深刻な影響を及ぼす可能性があります。今後、各ブラウザベンダーはこの問題に対して迅速に対応する必要がありますが、修正が各社のカスタマイズに依存するため、対応が遅れる可能性もあります。ユーザーは、ブラウザのアップデートを定期的に確認し、脆弱性に対する情報を常に把握しておくことが重要です。また、セキュリティ研究者や開発者は、責任ある開示の重要性を再認識し、問題が解決されるまでの間、ユーザーに対して注意喚起を行う必要があります。
背景情報
- i BlinkはChromiumベースのブラウザで使用されるレンダリングエンジンであり、ウェブページの表示を担当しています。このエンジンに存在する脆弱性は、ドキュメントタイトルの更新に対する制限がないため、攻撃者が大量のDOM変更を注入することを可能にします。
- i この脆弱性は、Chromiumバージョン143.0.7483.0以降に影響を与え、テストでは9つの主要なブラウザで確認されています。攻撃は、ブラウザのメインスレッドを飽和させ、イベントループを妨害することで発生します。