Google は、今年に入って攻撃で悪用された 7 件目の Chrome ゼロデイ脆弱性を修正するため、緊急のセキュリティアップデートをリリースしました。
「Google は、CVE-2025-13223 のエクスプロイトがすでに野放し状態で存在していることを認識しています」と、検索大手は月曜日に公開したセキュリティアドバイザリの中で警告しました。
この高深刻度の脆弱性は、Chrome の V8 JavaScript エンジンにおける型の取り違え(type confusion)の弱点が原因であり、先週 Google の Threat Analysis Group(TAG)の Clement Lecigne 氏によって報告されました。Google TAG は、ジャーナリスト、野党政治家、反体制派などの高リスク個人を標的とするスパイウェアキャンペーンにおいて、政府支援の脅威グループによるゼロデイエクスプロイトを頻繁に検知しています。
Google は、このゼロデイ脆弱性を、Windows 向け 142.0.7444.175/.176、Mac 向け 142.0.7444.176、Linux 向け 142.0.7444.175 のリリースで修正しました。
これらの新バージョンは、今後数週間かけて Stable Desktop チャンネルの全ユーザーにロールアウトされる予定ですが、BleepingComputer が最新アップデートを確認した時点で、すでにパッチは利用可能になっていました。
Chrome ウェブブラウザは、セキュリティパッチが利用可能になると自動的に更新されますが、ユーザーは Chrome メニュー > ヘルプ > Google Chrome について に移動し、更新が完了するのを待ってから「再起動」ボタンをクリックしてインストールすることで、自分が最新バージョンを実行しているか確認することもできます。
Google はすでに、CVE-2025-13223 が攻撃で使用されていたことを確認していますが、アクティブな悪用に関する追加の詳細はまだ共有していません。
「ユーザーの大多数が修正を含むアップデートを適用するまで、バグの詳細やリンクへのアクセスを制限する場合があります」と Google は述べています。「また、そのバグが他のプロジェクトも同様に依存しているサードパーティライブラリに存在し、まだ修正されていない場合には、制限を維持します。」
これは、今年 Google によって修正された、攻撃で悪用された Chrome ゼロデイとしては 7 件目であり、これまでに 3 月、5 月、6 月、7 月、9 月に 6 件がパッチ適用されています。
9 月と 7 月には、Google TAG の研究者によって報告された 2 件のアクティブに悪用されていたゼロデイ(CVE-2025-10585 と CVE-2025-6558)に対応しました。
Google は 5 月にも、脅威アクターがアカウントを乗っ取ることを可能にしていた Chrome のゼロデイ脆弱性(CVE-2025-4664)に対処するため、追加の緊急セキュリティアップデートをリリースしました。これらのアップデートでは、Google TAG が 6 月に V8 JavaScript エンジンで発見した、境界外読み取りおよび書き込みの脆弱性(CVE-2025-5419)も修正されました。
3 月には、Kaspersky によって報告された高深刻度のサンドボックスエスケープ脆弱性(CVE-2025-2783)も Google によってパッチ適用されました。この脆弱性は、ロシアのメディア企業や政府機関を標的としたスパイ活動の攻撃で悪用されていました。
2024 年には、Google はさらに 10 件のゼロデイバグに対処しました。これらは Pwn2Own ハッキングコンテストでデモされたもの、あるいは実際の攻撃で悪用されたものでした。
