Google Chrome のゼロデイ脆弱性 CVE-2025-10585:任意コード実行の可能性

Code Analysis Published for Chrome Type Confusion 0-Day Vulnerability

2025/09/22 gbhackers — 2025年9月16日付けで Google TAG (Threat Analysis Group) が公表したのは、V8 の TurboFan コンパイラ・コンポーネントに存在する、深刻なゼロデイ脆弱性 CVE-2025-10585 の情報である。長年にわたり、Google Chrome の V8 JavaScript エンジンは、世界中の数十億のユーザーに対して、スピードとセキュリティのバランスを取ってきた。この脆弱性を悪用する攻撃者は、タイプ・コンフュージョンを引き起こし、ブラウザ・プロセスのメモリを破損させ、最終的に任意のコード実行の可能性を得る。

脆弱性の詳細

脆弱性 CVE-2025-10585 (CVSS v3.1:8.8) は影響度が高く、リモート攻撃のベクターを反映している。この問題は Windows/Linux/macOS 版 Chrome 140.0.7339.185 未満のバージョンだけではなく、Microsoft Edge/Brave などの Chromium ベースのブラウザにも影響する。

AttributeDetails
CVE IdentifierCVE-2025-10585
CVSS v3.1 Score8.8 (High)
Affected ProductsGoogle Chrome < 140.0.7339.185 (Windows/Linux/macOS); Chromium-based browsers (Edge, Brave, etc.)

この脆弱性を悪用する、国家に支援される攻撃者や商用スパイウェア運営者は、暗号通貨や機密データの窃取を試行していると報告されている。悪意の Web ページにアクセスするだけで、この脆弱性がトリガーされる可能性があるため、すべてのユーザーにとってアップデートの適用は喫緊の課題である。

この問題は、V8 のインライン・キャッシュ・メカニズムにおけるタイプ・コンフュージョンに起因する。それを悪用する攻撃者は、プロパティ・トラップがプリミティブ値の代わりに浮動小数点配列を返すよう細工した、JavaScript の Proxy オブジェクトを用意する。

それがもたらす異常な挙動により、V8 エンジンはループ最適化の過程で、それらを数値型と誤認し、インライン・キャッシュを破損させてしまう。結果として、ヒープ・オーバーフローや解放後メモリ使用 (use-after-free) が発生し、攻撃者に任意のメモリ読み書き権限を与える可能性がある。

すでに Google は、Chrome 140.0.7339.185 をリリースし、この脆弱性を修正している。すべてのユーザーに対して強く推奨されるのは、”chrome://settings/help” へのアクセスもしくは、ブラウザに組み込まれた更新メカニズムを介して、速やかにアップデートすることだ。以下は、V8 の TurboFan コンパイラにおけるタイプ・コンフュージョンのトリガーを示す、仮の JavaScript PoC スニペットと、それに付随する疑似アセンブリである。

// Hypothetical PoC Snippet (Adapted from Similar V8 Type Confusions)
let victim = new Proxy({}, {
  get(target, prop) {
    if (prop === Symbol.toPrimitive) {

      // Type Mismatch: return a float array instead of a number
      return () => [1.1, 2.2, 3.3];
    }
    return Reflect.get(...arguments);
  }
});

// Optimization trigger loop
for (let i = 0; i < 10000; i++) {
  let x = +victim;  // ToNumber() call triggers type confusion
  if (x.length) {   // Numbers don’t have length; array treated as number

    // Arbitrary memory read via out-of-bounds access
    console.log(x[0]);  // Heap address leak
  }
}
推奨される対策

追加の予防策として、組織はエンドポイント保護ルールを適用すべきである。それにより、信頼できないスクリプトをブロックする一方で、ネットワーク・トラフィックを監視して疑わしいプロキシ・ベースのペイロードを検出できる。また、安全性が不明なサイトに合わせて JavaScript を無効化すると、一時的な影響は軽減されるが、安全な機能まで損なわれる可能性がある。

セキュリティ・チームにとって必要なことは、プロキシ・オブジェクトに対する ToNumber 呼び出しの繰り返しをログで確認し、インライン・キャッシュの改竄の兆候に注意することだ。

この CVE-2025-10585 が浮き彫りにするのは、パフォーマンスの最適化と安全なブラウザ設計の間の微妙なバランスである。したがって、開発者とセキュリティ専門家に推奨されるのは、他の JIT エンジンにおける同様の型推論コードをレビューし、類似の欠陥を検出するために、ターゲットを絞ったファジング・テストを実行することだ。

PoC エクスプロイト・コードが、間もなく公開される可能性が高いため、さらなる悪用を防ぐためにも、最新のパッチを適用し、脅威フィードを監視することが不可欠である。

V8 JavaScript の TurboFan には、ループ最適化において “型” の誤認が発生するとのことです。具体的には、Proxy が数値の代わりに浮動小数点配列を返すよう細工され、インライン・キャッシュが破損し、ヒープオーバーフローや use-after-free を誘発することで、任意のコード実行につながるとされます。なお、文中の仮の PoC スニペットは、NullSecurityX から引用されたものであり、類似の脆弱性である CVE-2022-1134 をベースにしているようです。とにかく、早めにアップデートしたほうが、良さそうです。よろしければ、Chrome で検索も、ご参照ください。