緊急セキュリティアップデートの発表
Googleは、今年に入って7件目となるChromeのゼロデイ脆弱性を修正するため、緊急セキュリティアップデートをリリースしました。この脆弱性は既に攻撃で悪用されていることが確認されています。
Googleは、セキュリティアドバイザリで「CVE-2025-13223の悪用が既に確認されている」と警告しています。
V8 JavaScriptエンジンにおける脆弱性
今回の脆弱性(CVE-2025-13223)は、ChromeのV8 JavaScriptエンジンにおける型混同の欠陥に起因します。この問題は、先週Googleの脅威分析グループ(TAG)のClement Lecigne氏によって報告されました。
Google TAGは、ジャーナリスト、野党政治家、反体制派などの高リスクの個人を標的とするスパイウェアキャンペーンにおいて、政府支援の脅威グループによるゼロデイエクスプロイトを頻繁に発見しています。
修正版の提供とユーザーへの推奨
Googleは、Windows向けにバージョン142.0.7444.175/.176、Mac向けに142.0.7444.176、Linux向けに142.0.7444.175をリリースし、このゼロデイ脆弱性を修正しました。
これらの新しいバージョンは、今後数週間にわたってStable Desktopチャネルの全ユーザーに展開される予定ですが、BleepingComputerの確認では、すでにパッチが即座に利用可能となっていました。
Chromeウェブブラウザはセキュリティパッチが利用可能になると自動的に更新されますが、ユーザーはChromeメニュー > ヘルプ > Google Chromeについてにアクセスし、更新を完了させた後、「再起動」ボタンをクリックして最新バージョンを実行していることを確認することが推奨されます。
脆弱性の詳細と過去の事例
Googleは、CVE-2025-13223が攻撃で悪用されたことを認めているものの、現時点では追加の詳細情報の共有を制限しています。これは、より多くのユーザーが修正を適用するまで、または脆弱性が他のプロジェクトも依存するサードパーティライブラリに存在する場合に、情報公開を控えるためです。
これはGoogleが今年修正した7件目のChromeゼロデイ脆弱性であり、3月、5月、6月、7月、9月にもさらに6件がパッチ適用されています。
- 9月と7月には、Google TAGの研究者によって報告された2件のゼロデイ脆弱性(CVE-2025-10585およびCVE-2025-6558)が対処されました。
- 5月には、攻撃者がアカウントを乗っ取ることを可能にするChromeゼロデイ脆弱性(CVE-2025-4664)に対処するための緊急セキュリティアップデートがリリースされました。
- また、Google TAGが6月に発見したV8 JavaScriptエンジンにおける境界外読み取りおよび書き込みの欠陥(CVE-2025-5419)も修正されました。
- 3月には、Kasperskyによって報告され、ロシアのメディア機関や政府機関に対するスパイ活動で悪用された高深刻度のサンドボックスエスケープの欠陥(CVE-2025-2783)がパッチ適用されました。
2024年には、Pwn2Ownハッキングコンテストでデモされた、または攻撃で悪用されたさらに10件のゼロデイバグに対処しています。