- Googleは、実際に悪用されているゼロデイCVE-2025-10585を含む4つのChromeのバグを修正
- このゼロデイはV8の型混同の脆弱性で、任意のコード実行の可能性あり
- Chromeの人気の高さが、サイバー犯罪者によるブラウザ脆弱性の標的となる主な理由
Googleは、実際に悪用されているゼロデイを含む、Chromeブラウザで発見された4つのバグを修正しました。
Googleはセキュリティアドバイザリで、ANGLEのヒープバッファオーバーフロー(CVE-2025-10502)、WebRTCのuse-after-freeバグ(CVE-2025-10501)、Dawnの別のuse-after-free(CVE-2025-10500)を修正したと発表しました。4つ目のバグであり、ゼロデイとして悪用されているものは、V8の型混同バグです。
ChromeのV8 JavaScriptエンジンにおける型混同バグは、メモリ安全性の問題であり、エンジンが変数やオブジェクトを実際とは異なる型として扱うときに発生します。この誤認識により、ヒープ破損や任意のコード実行など、深刻な問題が発生する可能性があります。
ゼロデイの悪用
これは、Googleが2025年だけでChromeに対して修正した6件目のゼロデイ脆弱性です。
今回のケースでは、Googleはさらなる攻撃を防ぐため、全ユーザーが修正を適用するまで詳細を共有しないとしています。
「バグの詳細やリンクへのアクセスは、ユーザーの大多数が修正を適用するまで制限される場合があります」とアドバイザリには記載されています。「また、このバグが他のプロジェクトも依存しているサードパーティライブラリに存在し、まだ修正されていない場合も、制限を継続します。」
この脆弱性は現在CVE-2025-10585として追跡されており、深刻度スコアはまだ付与されていませんが、「高深刻度」のバグとだけ説明されています。
Googleは、Windows/Mac向けにバージョン140.0.7339.185/.186、Linux向けに140.0.7339.185でこの問題を修正しており、今後数日から数週間かけて順次展開されます。
Chromeは世界で最も人気のあるブラウザで、市場シェアはほぼ70%に達しており、サイバー犯罪者にとって魅力的な標的となっています。
悪意のある者は、ブラウザのバグを利用して機密データへの不正アクセス、ユーザーアカウントの侵害、さらにはシステム全体の乗っ取りまで可能にします。これらの脆弱性は、サンドボックスや認証などのセキュリティ機構を回避し、ブラウザに保存された認証情報、セッショントークン、個人情報などを盗むことを可能にする場合があります。
