2025年9月18日Ravie Lakshmanan脆弱性 / ブラウザセキュリティ
Googleは水曜日、Chromeウェブブラウザのセキュリティアップデートをリリースし、4件の脆弱性に対応しました。その中には、実際に悪用されているとされるものも含まれています。
問題となっているゼロデイ脆弱性はCVE-2025-10585であり、これはV8 JavaScriptおよびWebAssemblyエンジンにおける型混同(type confusion)問題と説明されています。
型混同の脆弱性は、悪意のある攻撃者によって予期しないソフトウェアの挙動を引き起こすために悪用される可能性があり、任意のコード実行やプログラムのクラッシュにつながるなど、深刻な結果をもたらすことがあります。
Googleの脅威分析グループ(TAG)がこの脆弱性を発見し、2025年9月16日に報告したとされています。
通常通り、同社はこの脆弱性が実際の攻撃でどのように悪用されているのか、誰によるものか、またその規模についての詳細は共有していません。これは、ユーザーが修正を適用する前に他の攻撃者がこの問題を悪用するのを防ぐためです。
「Googleは、CVE-2025-10585のエクスプロイトが実際に存在することを認識しています」と、同社は簡潔なアドバイザリで認めています。
CVE-2025-10585は、今年に入ってからChromeで実際に悪用された、または概念実証(PoC)として示された6件目のゼロデイ脆弱性です。これには、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554、CVE-2025-6558が含まれます。
潜在的な脅威から身を守るために、WindowsおよびApple macOSではバージョン140.0.7339.185/.186、Linuxでは140.0.7339.185へのChromeブラウザのアップデートが推奨されています。最新のアップデートがインストールされているか確認するには、「その他」>「ヘルプ」>「Google Chromeについて」に進み、「再起動」を選択してください。
Microsoft Edge、Brave、Opera、Vivaldiなど、他のChromiumベースのブラウザのユーザーも、修正が利用可能になり次第、適用することが推奨されています。
翻訳元: https://thehackernews.com/2025/09/google-patches-chrome-zero-day-cve-2025.html