Googleは月曜日、攻撃者がすでに発見し実際に悪用している重大なChromeのバグに対して緊急パッチを公開しました。
この脆弱性はCVE-2025-13223として追跡されており、V8 JavaScriptエンジンにおける型混同の欠陥です。今年に入って7件目のChromeゼロデイとなります。これらはすべてすでに修正されています。しかし、Chromeをウェブブラウザとして使用している場合は、必ず最新バージョンを利用してください。そうしないとシステム全体が危険にさらされます。
この種の脆弱性は、エンジンがメモリのブロックを誤って別の型のオブジェクトとして解釈し、本来とは異なるものとして扱うことで発生します。これによりシステムのクラッシュや任意のコード実行が引き起こされ、他のバグと組み合わされると、細工されたHTMLページを通じてシステム全体が乗っ取られる可能性もあります。
「GoogleはCVE-2025-13223のエクスプロイトが実際に存在することを認識しています」と、月曜日のセキュリティアラートで警告しています。
また同じく月曜日、GoogleはChromeのV8エンジンにおける別の重大な型混同バグに対しても2つ目の緊急パッチを発行しました。こちらはCVE-2025-13224として追跡されています。現時点では悪用の報告はありませんが、早めにアップデートする理由がまた一つ増えました。
GoogleのLLMベースのバグハンティングツールBig Sleepが2024年10月にCVE-2025-13224を発見し、人間であるGoogle(チョコレートファクトリー)のClément Lecigne氏が11月12日にCVE-2025-13223を発見しました。
Lecigne氏はGoogleの脅威分析グループ(TAG)に所属するスパイウェアハンターで、これらのChromeゼロデイのいくつかを発見・公開したことで知られています。CVE-2025-13223を誰がどのように悪用しているのか詳細は不明ですが、TAGはスパイウェアや国家支援型攻撃者がゼロデイを悪用して諜報活動を行っていることを追跡しています。
TAGはまた、6件目のChromeゼロデイバグも発見し、9月に修正されました。この欠陥(CVE-2025-10585)もV8 JavaScriptおよびWebAssemblyエンジンにおける型混同の脆弱性でした。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/18/google_chrome_seventh_0_day/
