Google、Chromeを緊急アップデート-サイバー攻撃への悪用が確認されている複数の脆弱性を修正(CVE-2025-13223,13224)

セキュリティニュース

投稿日時: 更新日時:

Google、Chromeを緊急アップデート-サイバー攻撃への悪用が確認されている複数の脆弱性を修正(CVE-2025-13223,13224)

2025年11月17日、Googleは、Chromeの安定版に対して緊急のセキュリティアップデートを公開しました。更新版では、JavaScriptエンジン「V8」に存在するType Confusion脆弱性を2件修正し、そのうちCVE-2025-13223は「すでに悪用が確認されているゼロデイ」と公式に明言されています。もう1件はCVE-2025-13224で、同じくV8に関する高深刻度のType Confusionです。

公開内容の要点

  • ゼロデイ:CVE-2025-13223(V8 / Type Confusion)
    Google Threat Analysis Group(TAG)が2025年11月12日に報告。すでに実際の攻撃で悪用を確認。

  • 同時修正:CVE-2025-13224(V8 / Type Confusion)
    2025年10月9日に報告。現時点で悪用確認の公式言及はないものの、高深刻度として直ちに更新が推奨。

  • 配信バージョン(Stable)

    • Windows:142.0.7444.175/.176

    • Mac:142.0.7444.176

    • Linux:142.0.7444.175
      Googleは数日〜数週間で段階的にロールアウトするとしていますが、自動更新を待たず即時更新が推奨です。

概要

Type Confusionは、プログラムがオブジェクトのデータ型を誤って扱うことでメモリ破壊(とくにヒープ破壊)を引き起こし、結果として任意コード実行(RCE)に繋がり得る欠陥です。V8はブラウザのスクリプト実行の「心臓部」であり、細工されたWebページを閲覧させるだけで攻撃が成立するドライブバイ攻撃の入口となる可能性があります。TAGが関与している点からも、標的型攻撃で使われる恐れが高いと見られます。