出典: Security NEXT – https://www.security-next.com/177275
Chromeのスクリプトエンジンにゼロデイ脆弱性が発見され修正版が公開
Googleは2025年11月17日、ブラウザ「Chrome」のスクリプトエンジン「V8」に存在したゼロデイ脆弱性を修正するセキュリティアップデートを公開しました。既に一部の脆弱性は悪用が確認されており、速やかなアップデート適用が推奨されています。
主要なポイント
- ゼロデイ脆弱性の存在:ChromeのV8エンジンに型の取り違え(型混同)に起因する2件の脆弱性「CVE-2025-13223」「CVE-2025-13224」が発見されました。
- 悪用の確認:「CVE-2025-13223」はGoogleの脅威分析グループ(TAG)から報告され、実際に悪用されていることが確認されています。
- AIを活用した検出:「CVE-2025-13224」はGoogleの大規模言語モデル(LLM)を用いた脆弱性検出ツール「Google Big Sleep」によって発見されました。
- 対応バージョンのリリース:Windows、macOS、Linux向けにそれぞれ「Chrome 142.0.7444.175」「142.0.7444.176」などの修正版が公開され、今後数日から数週間かけて順次配布されます。
- 重要度評価:いずれの脆弱性も4段階中2番目に高い「高(High)」の重要度と評価されています。
技術的な詳細と背景情報
今回修正された脆弱性は「型の取り違え(Type Confusion)」に分類されます。これはプログラムがあるデータ型を別の型として誤認識し、予期しない動作やメモリ破壊を引き起こす問題です。特にJavaScriptエンジンのV8は複雑な最適化を行っているため、こうした型混同の脆弱性は深刻な影響を及ぼす可能性があります。
「CVE-2025-13223」はGoogleのセキュリティチームが直接報告し、既に攻撃に利用されていることからゼロデイ(公開前に悪用される脆弱性)とされています。一方、「CVE-2025-13224」はGoogleが開発したAIベースの脆弱性検出ツール「Google Big Sleep」によって発見され、今後の脆弱性検出にAI技術が活用される新たな潮流を示しています。
影響や重要性
Chromeは世界中で広く利用されているウェブブラウザであり、V8エンジンはJavaScriptの実行を担う重要なコンポーネントです。今回の脆弱性は攻撃者が悪意あるウェブサイトを通じて任意のコードを実行し、ユーザーのシステムを乗っ取るリスクを孕んでいます。
特に既に悪用が確認されているため、ユーザーは速やかに最新バージョンへのアップデートを行うことが重要です。企業や組織においてもセキュリティポリシーに基づき、Chromeのバージョン管理と更新を徹底する必要があります。
まとめ
GoogleはChromeのV8スクリプトエンジンに存在した2件の型混同脆弱性を修正したアップデートを公開しました。うち1件は既に悪用されているゼロデイ脆弱性であり、ユーザーは速やかに最新版に更新することが求められます。今回の事例はAI技術を活用した脆弱性検出の有効性も示しており、今後のセキュリティ対策において注目されるポイントです。
