Googleは水曜日、攻撃で悪用されていた脆弱性を解決するChromeのアップデートを緊急リリースしました。これは今年ブラウザで対応された6件目のゼロデイです。
CVE-2025-10585として追跡されており、GoogleのThreat Analysis Group(TAG)によって9月16日に報告されたこの脆弱性は、V8 JavaScriptおよびWebAssemblyエンジンにおける型混同の問題と説明されています。
型混同バグはメモリ安全性の問題であり、予期しないソフトウェアの動作を引き起こす可能性があり、クラッシュやリモートコード実行、その他の攻撃につながることがあります。
細工されたHTMLページを使用することで、攻撃者はV8の型混同の欠陥を悪用し、リモートで任意の読み書き操作を行うことができます。
「GoogleはCVE-2025-10585のエクスプロイトが実際に存在することを認識しています」と、インターネット大手はアドバイザリで述べています。脆弱性やその悪用に関する詳細は公開されていません。
Google TAGによって報告されたという事実は、スパイウェアベンダーがこれを悪用した可能性を示唆しています。TAGの研究者たちは、Chromeのバグを含む商用スパイウェアによって悪用された多数のセキュリティホールを発見しています。
最新のブラウザアップデートでは、Dawn(CVE-2025-10500)とWebRTC(CVE-2025-10501)における2件のuse-after-free脆弱性も修正されており、Googleはそれぞれ$15,000と$10,000の報奨金を支払いました。
さらに、このアップデートにはANGLEグラフィックスエンジンにおけるヒープバッファオーバーフロー(CVE-2025-10502)の修正も含まれています。これはBig Sleep AIエージェントによって発見されたもので、Googleによると攻撃者が既に知っていて悪用を計画しているセキュリティ欠陥を見つけることができるとしています。
広告。スクロールして続きをお読みください。
インターネット大手は、ANGLEの脆弱性に対して支払われるバグバウンティの金額をまだ公開していません。なお、今回悪用された脆弱性については社内で発見されたため、報奨金は支払われません。
最新のChromeバージョンは、WindowsおよびmacOS向けに140.0.7339.185/.186、Linux向けには140.0.7339.185として順次展開されています。
関連記事: Chromeアップデートで2025年の5件目のゼロデイを修正
関連記事: 重大なChromeの脆弱性で研究者が$43,000を獲得
翻訳元: https://www.securityweek.com/chrome-140-update-patches-sixth-zero-day-of-2025/