CISAがGoogle Chromeのゼロデイ 脆弱性 CVE-2025-10585をKEVに追加-実運用で悪用確認 優先パッチ適用を勧告

セキュリティニュース

投稿日時: 更新日時:

CISAがGoogle Chromeのゼロデイ 脆弱性 CVE-2025-10585をKEVに追加-実運用で悪用確認 優先パッチ適用を勧告

米CISAは既に悪用が確認された脆弱性をまとめるKnown Exploited Vulnerabilities(KEV)カタログに、CVE-2025-10585(Chromium V8のType Confusion)を2025年9月23日付で追加しました(米政府機関の適用期限:2025年10月14日)。

Googleは同脆弱性の悪用(in the wild)を公式に確認し、デスクトップ版Chrome Stableの緊急更新 140.0.7339.185/.186(Linuxは.185)を公開済みです。

脆弱性の要点

  • CVE:CVE-2025-10585

  • 影響コンポーネント:Chromium V8(JavaScript / WebAssembly エンジン)

  • 種別型混同(Type Confusion)(CWE-843)

  • 悪用状況悪用コードの存在/実攻撃を確認(Google公表、CISA KEV登録)

  • リスク:境界回避→メモリ破壊→**任意コード実行(RCE)の足掛かり

  • 対象Chrome(Windows/Mac/Linux)をはじめChromium系ブラウザ全般(V8依存)

KEVは「実際に悪用されている」脆弱性の公式リストで、優先度を最大化して米政府機関へ期限内での対応を推奨しています。

Googleの対応(過去記事のアップデート整理)

  • 2025/9/17(日本時間):Stableを140.0.7339.185/.186へ緊急更新、CVE-2025-10585を含む4件を修正。

  • Google Threat Analysis Groupがゼロデイ悪用を確認。修正の行き渡りまで技術詳細は制限