- GoogleがV8エンジンのChromeゼロデイCVE-2025-13223にパッチを適用
- バグにより任意のコード実行が可能となり、国家支援の脅威アクターによって悪用された可能性が高い
- ユーザーはChromeをバージョン142.0.7444.175/.176にアップデートする必要がある
Googleは、ゼロデイとして野生で悪用されていたChromeブラウザの深刻なセキュリティ脆弱性にパッチを適用しました。
新たなセキュリティアドバイザリで、GoogleはV8 JavaScriptおよびWebAssemblyエンジンにおける型の混乱(type confusion)脆弱性を修正したと発表しました。この脆弱性は任意のコード実行につながります。V8はブラウザのJavaScriptおよびWebAssemblyエンジンであり、ウェブページ上のJavaScriptやWASMコードを読み込み、コンパイルし、実行する「頭脳」とも言える存在です。
この脆弱性は現在CVE-2025-13223として追跡されており、深刻度スコアは8.8/10(高)です。「Google Chromeの142.0.7444.175以前のV8における型の混乱により、リモート攻撃者が細工されたHTMLページを介してヒープ破損を悪用する可能性がありました」と、National Vulnerability Database(NVD)は説明しています。
問題の修正
The Hacker Newsによると、このバグはGoogleのThreat Analysis Group(TAG)に所属するセキュリティ研究者によって最初に発見されましたが、攻撃者および被害者の詳細は明かされていません。
しかし、過去の報告からGoogleのTAGチームは通常、国家支援の脅威アクターを監視していることが分かっているため、このバグは北朝鮮、中国、ロシア、イランなどのアクターによって利用されていたと考えられます。Lazarus Group(北朝鮮)やAPT29(ロシア)は、過去にもChromeの脆弱性を悪用していたことが確認されています。
今年、V8で発見された型の混乱バグはこれが3件目であり、The Hacker Newsによれば、CVE-2025-6554およびCVE-2025-10585に続くものです。
Googleはデフォルトで次回起動時に自動的にアップデートされるため、ユーザーが特に何かをする必要はない場合がほとんどです。ただし、自動更新がオフになっている場合は、Windowsではバージョン142.0.7444.175/.176、Apple macOSでは142.0.7444.176、Linuxでは142.0.7444.175にブラウザを更新してください。
利用中のChromeのバージョンを確認するには、「その他」>「ヘルプ」>「Google Chromeについて」に進み、「再起動」を選択してください。
