CISA Issues Alert on Actively Exploited Google Chrome 0-Day Vulnerability
2025/09/24 gbhackers — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が発令したのは、現在も悪用されている Google Chrome のゼロデイ脆弱性に対する、緊急のセキュリティ・アラートである。この脆弱性 CVE-2025-10585 は、Google Chromium の V8 JavaScript/WebAssembly エンジンに影響を及ぼし、世界中のユーザーに重大なセキュリティリスクをもたらすものであり、KEV (Known Exploited Vulnerabilities) カタログにも追加された。
深刻なタイプ・コンフュージョンの脆弱性
新たに確認された脆弱性は、ブラウザ内で JavaScript コードを実行する Chrome の V8 エンジンに存在するタイプ・コンフュージョン (CWE-843) の欠陥である。タイプ・コンフュージョンとは、データ・タイプの誤処理に起因し、攻撃者に対してメモリの操作を許し、悪意のコード実行の可能性を生じる。
2025年9月23日の時点で CISA は、CVE-2025-10585 を KEV カタログに追加した。それが示すのは、この脆弱性を脅威アクターが積極的に悪用している状況である。拘束的運用指令 (BOD) 22-01 に基づき、CISA は連邦政府機関に対して、必要なパッチの適用もしくは緩和策の実施を求めている。また、速やかなパッチ適用が不可能な組織は、影響を受ける Chrome の使用を中止すべきとしている。なお、パッチ適用の期限は 2025年10月14日 に定められている。
この脆弱性は深刻なものであり、組織/個人ユーザーは迅速な対応が要求される。ユーザーに対して強く推奨されるのは、Chrome ブラウザを直ちに最新バージョンに更新することだ。
すでに Google は、この脆弱性に対処するパッチをリリースしており、自動更新により大半のインストールに修正が適用されるはずである。ただし、自動更新が適用されていない場合には、Chrome の設定メニューから手動でアップデートを確認し、速やかにセキュリティ・パッチを適用することが必要となる。
CISA の分析によると、この脆弱性 CVE-2025-10585 は積極的に悪用されていることになるが、ランサムウェア攻撃での悪用については、現時点では確認されていない。ランサムウェア攻撃者は、システムやネットワークへの初期アクセスを得るために、ブラウザの脆弱性を頻繁に悪用するため、この脆弱性は懸念材料となっている。
V8 エンジンは JavaScript の処理で重要な役割を果たすため、この脆弱性は特に危険である。悪意の Web サイトにアクセスするだけで、ユーザーの操作を必要とせずに、システムが侵害される可能性がある。
システム管理者に対して求められるのは、環境全体で Chrome の更新を最優先し、この脆弱性を悪用しようとする試みを示唆する、ブラウザ関連の疑わしいアクティビティを監視することである。
Chrome の V8 エンジンのタイプ・コンフュージョンが原因となり、メモリを不正に操作され、悪意のコード実行に至るようです。JavaScript/WebAssembly の実行を高速化するために、V8 は型推論や最適化を多用しますが、その境界での不整合が致命的な影響を生んでいます。悪意のサイトにアクセスするだけで、攻撃が成立する恐れがあるため、CISA が KEV 登録とともに緊急対応を促しています。ご利用のユーザーさんは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.