Google、ChromeにおけるV8エンジンの深刻な脆弱性を修正(CVE-2025-8010,CVE-2025-8011)

セキュリティニュース

投稿日時: 更新日時:

Google、ChromeにおけるV8エンジンの深刻な脆弱性を修正(CVE-2025-8010,CVE-2025-8011)

Googleは2025年7月22日、デスクトップ版Chromeに対する安定版チャンネルのアップデート(バージョン138.0.7204.168/.169)を公開しました。本アップデートには3件のセキュリティ修正が含まれており、そのうち2件はChromeのJavaScriptエンジン「V8」に関わる深刻度「High」レベルの脆弱性です。

CVE-2025-8010:V8におけるType Confusionの脆弱性

  • 報告者:Shaheen Fazim 氏(2025年7月9日)

  • 報奨金:8,000ドル

  • 内容:V8エンジンにおいて、オブジェクトの型を誤って扱う「型混乱(Type Confusion)」が発生することで、メモリ破損を引き起こし、任意のコード実行が可能になるリスクがあります。

CVE-2025-8011:同様のType Confusionの脆弱性

  • 報告者:同上(技術詳細・報奨金額は未公開)

  • この脆弱性も高リスクに分類されており、悪用された場合は同様に深刻な影響を及ぼす可能性があります。

V8のType Confusionとは?

「Type Confusion」は、プログラムが実行時にオブジェクトの型を誤って解釈することで発生します。特にV8エンジンでは、これにより内部のメモリ構造を不正に操作できるケースがあり、サンドボックスの回避や、システム権限の奪取につながる可能性が指摘されています。

この種の脆弱性は、ゼロデイ攻撃や高度な脆弱性チェーンの一部として悪用されるリスクがあるため、Chromeのような広く使用されているブラウザでは特に警戒が必要です。