Chrome V8 JavaScript Engine Vulnerability Let Attackers Execute Remote Code
2025/10/22 CyberSecurityNews — Google が公開したのは、Chrome ブラウザの V8 JavaScript エンジンに存在する深刻な脆弱性に対する緊急アップデートである。このリモート・コード実行の脆弱性 CVE-2025-12036 は、Chrome のレンダリング機能を支えるオープンソースの JavaScript/WebAssembly エンジンである、V8 の不適切な実装に起因するものだ。
この問題は 2025年10月15日時点で、Google の AI 駆動型セキュリティ・ツール Big Sleep により社内で発見/報告された。それにより、悪意の Web サイトの侵害されたページにユーザーがアクセスするだけで、デバイス上での任意のコード実行にいたる可能性が生じていた。
この脆弱性に対する修正パッチは、発見からわずか数日後に公開されており、ブラウザ・セキュリティへの迅速な対応を重視する Google の姿勢が示されている。
Stable チャネルのアップデートは、Windows/macOS 向けにバージョン 141.0.7390.122/.123、Linux 向けに 141.0.7390.122 として展開される。
今後の数日から数週間のうちに、世界中の数十億人の Chrome ユーザーに自動的に配信される修正パッチにより、脆弱性の悪用リスクが最小限に抑えられる見込みである。今回の更新ログでは、セキュリティ強化点について説明されているが、悪用防止のため、大半のユーザーがアップデートを適用するまで技術的詳細は公開されないという。
Chrome V8 JavaScript エンジンの脆弱性
Chrome の中核である V8 は、JavaScript コードを効率的に処理し、インタラクティブ・マップからオンライン・バンキング・インターフェイスにいたるまでの、動的な Web エクスペリエンスを実現している。しかし、実装上の誤りである CVE-2025-12036 が悪用されると、Chrome のサンドボックス保護回避の可能性がある。
悪意のスクリプトを作成する攻撃者は、機密メモリの読み取りやコード注入を達成し、機密データの窃取/マルウェアのインストール/システム全体の侵害などを引き起こす可能性がある。深刻度は High と評価されており、過去の V8 脆弱性と同様に、ドライブ・バイ・ダウンロードやフィッシング・キャンペーンで悪用される恐れがある。
セキュリティ専門家たちは、今回の脆弱性は孤立した問題ではなく、Web ブラウジングの中核を担う V8 であるがゆえに、標的化が継続していると述べている。
Google は、機械学習システム Big Sleep による異常検知により、このバグを Stable チャネルから取り除くことに成功した。また、AddressSanitizer/libFuzzer などのツールによる、継続的なファジングが早期発見に貢献していると、同社は評価している。
このアップデートが示すのは、ブラウザ・ベースの脅威が増大する現在において、タイムリーなパッチ適用が重要なことである。Chrome は市場シェアの 65%以上を占めているため、この脆弱性による影響がインターネット・エコシステム全体に及ぶ可能性がある。
ユーザーに対して強く推奨されるのは、自動更新を有効化し、不審なサイトへのアクセスを避けることである。Google は研究者たちの貢献に感謝を示し、進化する攻撃に対する協調的防御の重要性を強調している。
サイバー脅威が高度化する中、このような脆弱性が浮き彫りにするのは、ソフトウェア開発における AI 活用型の警戒体制の必要性である。
この脆弱性の原因は、Chrome の V8 の実装の不備にあり、特定の入力によりメモリ管理が破綻して任意のコード実行にいたるとされます。レンダラのサンドボックス境界を迂回できる余地が生まれ、悪意の Web ページを開くだけで影響が及ぶという危険なものです。Google での検知は Big Sleep と ASan/libFuzzer のファジングによるものであり、修正は Stable チャネルに反映済みです。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、Chrome で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.