TokyoBlackHatNews

csoonline.com 5分で読了

Googleが最新のゼロデイChrome脆弱性にパッチを適用、管理者の負担増加

V8 JavaScriptエンジンに影響する脆弱性が、世界で最も広く使われているブラウザへの攻撃者を引き寄せ続けている。

ここ数ヶ月で3度目となる、GoogleはChromeブラウザのV8 JavaScriptエンジンに潜在的に深刻なゼロデイ脆弱性を発見し、緊急で対応に追われている。

月曜日に緊急の「アウトオブバンド」パッチの一環として対処されたこの脆弱性は、CVE-2025-13223として特定され、Google社内のThreat Analysis Group(TAG)のClément Lecigneによって発見された。

また、同社はこの脆弱性(CVSSスコア8.8で「高」と評価)が実際に悪用されている証拠も発見している。

他の脅威グループに手がかりを与えないため、Googleのアドバイザリにはこの発見に関する詳細は記載されておらず、単に「GoogleはCVE-2025-13223のエクスプロイトが実際に存在することを認識しています」とだけ述べられている。

型の混乱(Type Confusion)

脆弱性の説明も同様に簡素で、この脆弱性がV8 JavaScriptエンジンに影響する型の混乱(Type Confusion)であることのみが記載されている。これはChromeだけでなく、Microsoft Edge、Brave、Operaなど他のChromiumベースのブラウザの中核要素でもある。

この点は重要で、Chromiumブラウザは世界で最も広く使われている消費者向けおよびビジネス向けブラウザであるためだ。当然ながら、Googleは最新のアドバイザリに次のような定型文を追加している:

「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正済みバージョンに更新されるまで制限される場合があります。また、他のプロジェクトも依存しているサードパーティライブラリにバグが存在し、まだ修正されていない場合も、制限を維持します。」

サードパーティアプリの場合、これには時間がかかる可能性がある。要するに、CVE-2025-13223の詳細な説明を期待しても、しばらくは待つことになるだろう。

V8エンジンは、Googleが2008年にJavaScriptの高速化のために導入したもので、現代のウェブ技術の基盤となるC++スクリプト技術である。型の混乱(Type Confusion)は脆弱性の一種であり、この種のCで記述されたコンポーネントではメモリ破損や範囲外アクセス、最悪の場合はコード実行を引き起こす可能性がある。

これにより、CVE-2025-13223はユーザーの操作なしに、ユーザーを細工されたウェブサイトに誘導することで悪用される可能性がある。Googleのアドバイザリには記載がないが、National Vulnerability Database(NVD)のエントリでは「Google Chrome 142.0.7444.175より前のV8における型の混乱により、細工されたHTMLページを介してリモート攻撃者がヒープ破損を悪用できる可能性がある」とだけ記載されている。ただし、多くのV8エンジンの脆弱性がこの種の攻撃を可能にするため、セキュリティ管理者はリスクとみなし、優先してChromeをパッチ適用すべきだ。

企業向けアップデート

今回の最新アップデートでは、V8エンジンの別の型の混乱(Type Confusion)脆弱性CVE-2025-13224にも対処しており、こちらも「高」優先度とされている。現時点でこれが悪用されている兆候はない。

企業ユーザーは、Windows向けChromeバージョン142.0.7444.175/.176、Mac向け142.0.7444.176、Linux向け142.0.7444.175にアップデートすることで、両方の脆弱性に対応できる。

通常、企業は拡張安定版チャンネル(ESC)で8週間ごとにパッチを適用し、十分なテスト期間を確保している。これに対し、ゼロデイ脆弱性のパッチは通常、数日以内に手動で適用される。

「企業の管理者にとって、これは現実的な負担です。ゼロデイは迅速なパッチ適用とテストのために汗だくで対応しなければならず、しかもChromeのアップデートは予告なしに頻繁にやってくるので、チームは休む暇がありません」とリスク管理会社SafeticaのCTO、Zbyněk Sopuch氏はコメントしている。

「ここでのパターンは、共有コンポーネントが被害範囲を拡大させるということです。そして、広範なコミュニティが組織的にパッチを適用するまで、V8は最も狙われやすいターゲットの一つであり続けます」とも付け加えた。

攻撃者は常にV8を標的にする方法を探していると彼は述べ、「それによって全体の巣箱を狙うことができるからです。管理者はChromeと、同じエンジンを静かに動かしている未知のアプリ群のせいで夜も眠れません」と語った。

Chromeは2025年にV8エンジンで他に2件のゼロデイが確認されており、Chrome全体では7件となっている。V8の脆弱性は6月のCVE-2025-5419と9月のCVE-2025-10585だ。7件のゼロデイは多く感じるかもしれないが、年間の件数はここ数年このレベルで推移している

翻訳元: https://www.csoonline.com/article/4092287/more-work-for-admins-as-google-patches-latest-zero-day-chrome-vulnerability.html

ソース: csoonline.com
#2025年サイバー攻撃 #Chromiumベースブラウザ #CVE-2025-13223 #Google Chrome #V8 JavaScriptエンジン #エンタープライズ管理者 #セキュリティパッチ #ゼロデイ脆弱性 #タイプコンフュージョン #緊急アップデート

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く