Chrome安定版にゼロデイ-V8の脆弱性(CVE-2025-10585)を悪用したサイバー攻撃を確認、今すぐ更新を

セキュリティニュース

投稿日時: 更新日時:

Chrome安定版にゼロデイ-V8の型混同(CVE-2025-10585)を悪用したサイバー攻撃を確認、今すぐ更新を

Googleは日本時間2025年9月17日、デスクトップ向けStableチャネルを140.0.7339.185/.186(Windows/Mac)140.0.7339.185(Linux)へ更新し、4件の脆弱性を修正しました。なかでもCVE-2025-10585(V8のType Confusion)はすでに悪用(in the wild)を確認しているゼロデイで、悪意あるWebページの閲覧だけで任意コード実行につながるおそれがあります。

なお、脆弱性の詳細はユーザーの大半に修正が行き渡るまで制限されています。

修正された主な脆弱性

  • CVE-2025-10585(High):V8における型混同脆弱性
    報告:Google Threat Analysis Group(2025-09-16)。実際の悪用を確認。スクリプト実行基盤での型混同は境界突破からコード実行に直結し得るため、最優先での更新が必要です。

  • CVE-2025-10500(High):DawnにおけるUse-After-Free
    報告:Giunash(Gyujeong Jin、2025-08-03)。報奨金$15,000。WebGPU基盤のメモリ解放後使用により、クラッシュや任意コード実行のリスク。

  • CVE-2025-10501(High):WebRTCにおけるUse-After-Free
    報告:sherkito(2025-08-23)。報奨金$10,000。リアルタイム通信に影響し、セッション妨害やクラッシュの可能性。

  • CVE-2025-10502(High):ANGLEにおけるヒープバッファオーバーフロー
    報告:Google Big Sleep(2025-08-12)。描画系でのメモリ破損は一般に悪用容易性が高く、レンダリング文脈でのリスクに注意。

企業・情シスの実務対応(優先度順)

  1. 即時アップデート適用と再起動

    • 端末のChromeを140.0.7339.185/.186(Linuxは.185)へ。更新適用は再起動必須

    • 管理環境では強制再起動ポリシーの一時的引き上げを検討(業務影響時間帯を指定)。

  2. 更新カバレッジの可視化

    • 構成管理/資産管理(例:MDM, Chrome Browser Cloud Management)でバージョン準拠率を可視化し、**SLA(24–48h以内90%以上など)**を設定。

  3. 高リスクユーザーの優先適用

    • ブラウジング面の露出が高い役員・営業・開発・CSから前倒し適用。