Googleは月曜日、実際に悪用されているゼロデイ脆弱性に対処するため、緊急のChrome 142アップデートを公開しました。
CVE-2025-13223(CVSSスコア8.8)として追跡されているこの高深刻度の脆弱性は、V8 JavaScriptおよびWebAssemblyエンジンにおける型混同の問題と説明されています。
予期しないソフトウェアの動作を引き起こす可能性のあるメモリ安全性のバグである型混同の脆弱性は、クラッシュやリモートコード実行、その他の悪意ある操作につながる可能性があります。
V8エンジンにおける型混同の欠陥は、通常、細工されたHTMLページを介してリモートの読み書き操作に悪用されることがあります。
「GoogleはCVE-2025-13223のエクスプロイトが実際に存在することを認識しています」とインターネット大手はアドバイザリで述べていますが、バグやその悪用に関する詳細は提供していません。
しかし、同社によると、この脆弱性はGoogleのThreat Analysis Group(TAG)のClément Lecigne氏によって11月12日に報告されました。これは、商用スパイウェアベンダーが攻撃でこのバグを標的にした可能性を示唆しています。
TAGの研究者たちは、Chromeの脆弱性を含む商用スパイウェアによって悪用された多数のセキュリティ欠陥を発見しています。
CVE-2025-13223は、今年Chromeで解決された7番目のゼロデイ脆弱性です。6番目は9月に修正されました。
このブラウザアップデートでは、Big Sleep AIエージェントによって報告された、V8におけるもう一つの型混同の問題であるCVE-2025-13224も修正されています。
Googleはこのセキュリティ欠陥が実際に悪用されたことには言及していませんが、インターネット大手は以前、脅威アクターが認識し、実際に悪用しようとしていたバグを発見したとしてBig Sleepを称賛しています。
最新のChromeバージョンは、Linux向けにはバージョン142.0.7444.175、macOS向けにはバージョン142.0.7444.176、Windows向けにはバージョン142.0.7444.175/.176として順次展開されています。
翻訳元: https://www.securityweek.com/chrome-142-update-patches-exploited-zero-day/
