Googleは、Chromeのゼロデイ脆弱性を修正するための緊急セキュリティアップデートをリリースしました。今年に入ってから攻撃で悪用されたとされるものとしては6件目です。
このセキュリティ上の欠陥が現在も実際に悪用されているかどうかについては明言されていませんが、Googleは公開されたエクスプロイトが存在することを警告しており、これは一般的に積極的な悪用が行われていることを示す指標です。
「Googleは、CVE-2025-10585のエクスプロイトが実際に存在することを認識しています」と、Googleは水曜日に公開したセキュリティアドバイザリで警告しています。
この高深刻度のゼロデイ脆弱性は、GoogleのThreat Analysis Groupが火曜日に報告した、ウェブブラウザのV8 JavaScriptエンジンにおける型の混乱の脆弱性によって引き起こされます。
Google TAGは、政府支援の脅威アクターが高リスク個人(反対派の政治家、反体制派、ジャーナリストなどを含むがこれらに限らない)を標的としたスパイウェアキャンペーンで悪用するゼロデイを頻繁に指摘しています。
同社は、セキュリティ問題を1日で緩和し、Windows/Mac用の140.0.7339.185/.186、Linux用の140.0.7339.185をリリースしました。これらのバージョンは今後数週間でStable Desktopチャンネルに展開されます。
Chromeは新しいセキュリティパッチが利用可能になると自動的に更新されますが、Chromeのメニュー > ヘルプ > Google Chromeについて に進み、アップデートが完了したら「再起動」ボタンをクリックすることで、更新をすぐに適用することができます。
GoogleはすでにCVE-2025-10585が攻撃で使用されたことを確認していますが、実際の悪用に関する追加の詳細はまだ共有されていません。
「バグの詳細やリンクへのアクセスは、ユーザーの大多数が修正済みバージョンに更新されるまで制限される場合があります」とGoogleは述べています。「また、このバグが他のプロジェクトも依存するサードパーティライブラリに存在し、まだ修正されていない場合も、制限を維持します。」
これは今年Googleが修正した6件目の積極的に悪用されたChromeゼロデイであり、3月、5月、6月、7月にも5件が修正されています。
7月には、Google TAGの研究者によって報告された、攻撃者がブラウザのサンドボックス保護を回避できる別の積極的に悪用されたゼロデイ(CVE-2025-6558)にも対応しました。
Googleは5月にも、攻撃者がアカウントを乗っ取ることを可能にするChromeゼロデイ(CVE-2025-4664)に対処するために追加の緊急セキュリティアップデートをリリースし、6月にはGoogle TAGが発見したChromeのV8 JavaScriptエンジンの範囲外読み書きの脆弱性(CVE-2025-5419)を修正しました。
3月には、Kasperskyによって報告された、ロシア政府機関やメディアを標的とした諜報攻撃で使用された高深刻度のサンドボックス回避の脆弱性(CVE-2025-2783)も修正しました。
昨年、Googleはさらに10件のゼロデイバグを修正しました。これらはPwn2Ownハッキングコンテストでデモされたか、実際の攻撃で悪用されたものです。
