Google Chrome 0-Day Vulnerability Actively Exploited in the Wild – Patch Now
2025/09/18 CyberSecurityNews — Google が Chrome の緊急セキュリティ・アップデートを公開した。対象となるのは、現時点で悪用されている、深刻なゼロデイ脆弱性 CVE-2025-10585 である。この脆弱性は、2025年に Chrome で発見/修正された一連のゼロデイ脆弱性の中で、最新の事例である。ユーザーに対して強く推奨されるのは、速やかにブラウザを更新し、潜在的な攻撃から身を守ることである。
最新の Stable チャネルは、Windows/Mac 用のバージョン 140.0.7339.185/.186 および、Linux 用のバージョン 140.0.7339.185 に更新された。Google は、今後の数日から数週間にかけて段階的に展開すると発表しているが、直近の脅威を軽減するためには、ユーザーが手動で更新を実行し、保護を確実に適用する必要がある。
ゼロデイ脆弱性の悪用
現時点で悪用されている脆弱性 CVE-2025-10585 は、V8 JavaScript および WebAssembly エンジンに存在するタイプ・コンフュージョンの欠陥である。タイプ・コンフュージョンとは、プログラムがリソースやオブジェクトを何らかのタイプに割り当てた後に、互換性のない異なるタイプでアクセスした場合に発生するものだ。それにより、論理エラーやメモリ破損が生じ、最終的に任意コード実行につながる可能性がある。
この脆弱性を悪用する攻撃者は、細工された悪意の Web ページへとユーザーを誘導することで、ブラウザのセキュリティ・サンドボックスを回避する可能性を得る。
この脆弱性は、2025年9月16日に Google の Threat Analysis Group (TAG) により報告されたものだ。TAG による確認では、高度な脅威アクターによる標的型攻撃で、このゼロデイ脆弱性が悪用されているという。
その他の脆弱性
今回のセキュリティ・アップデートでは、上記のゼロデイ脆弱性に加えて、外部のセキュリティ研究者により報告された深刻な脆弱性 3件も修正されている。
- CVE-2025-10500:グラフィックス抽象化レイヤー Dawn に存在する、解放後メモリ使用 (use-after-free) の脆弱性。
- CVE-2025-10501:リアルタイム通信を可能にする WebRTC コンポーネントに存在する、解放後メモリ使用の脆弱性。
- CVE-2025-10502:グラフィックス・エンジン変換レイヤー ANGLE に存在する、ヒープバッファ・オーバーフローの脆弱性。
いずれの脆弱性も、メモリ破損や任意コード実行につながる可能性がある。Google は、これらの脆弱性のうちの2件の発見に対して、それぞれ $15,000 と $10,000 のバグ報奨金を授与した。
ユーザーへの推奨事項
現在も実環境での悪用が確認されているため、パッチ未適用のシステムは重大なリスクにさらされている。Windows/macOS/Linux で Chrome を利用する、すべてのユーザーにとって必要なことは、最新バージョンへの速やかな更新である。
Chrome のバージョン確認とアップデートは「ヘルプ」メニューから「Google Chrome について」を選択することで行える。ブラウザは自動的に最新のアップデートを検出/ダウンロードするが、適用には再起動が必要である。
いつものとおり Google は、パッチ展開の過程で悪用が拡大するのを防ぐため、CVE-2025-10585 の技術的詳細と関連リンクへのアクセスを制限している。
2025年においても Google は、Chrome で積極的に悪用される複数のゼロデイ脆弱性を修正している。したがって、ユーザーが保護を維持するためには、継続的なソフトウェアのアップデートが不可欠である。
2025年に公開され、修正プログラムが適用された Chrome のゼロデイ脆弱性:
| CVE ID | Vulnerability Type | Description | Exploited in the Wild |
|---|---|---|---|
| CVE-2025-10585 | Type Confusion | A type confusion flaw in the V8 JavaScript engine that could be exploited via a malicious webpage. | Yes |
| CVE-2025-6558 | Improper Input Validation | Insufficient validation of untrusted input in the ANGLE and GPU components, allowing a remote attacker to perform a sandbox escape. | Yes |
| CVE-2025-6554 | Type Confusion | A type confusion vulnerability in the V8 JavaScript and WebAssembly engine, which could allow an attacker to perform arbitrary read/write operations. | Yes |
| CVE-2025-5419 | Out-of-Bounds Access | An out-of-bounds read and write vulnerability in the V8 engine that could allow memory corruption by visiting a crafted webpage. | Yes |
| CVE-2025-2783 | Sandbox Bypass | A critical vulnerability that allows for bypassing Chrome’s sandbox protection. | Yes |
| CVE-2025-4664 | Insufficient policy enforcement | This vulnerability was addressed by Google as a zero-day, but it is unclear if it was actively exploited in malicious attacks. | Yes |
Chrome で発見されたタイプ・コンフュージョンの脆弱性 CVE-2025-10585 が、悪用されているとのことです。本来なら整数や文字列など決まった型で管理される情報を、別の型として扱ってしまうことで起こるエラーです。その結果として、メモリが壊れたり、意図しないコードが実行される可能性が生まれます。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.