Chrome Type Confusion Zero-Day Vulnerability Actively Exploited in the Wild
2025/11/18 CyberSecurityNews — Google がリリースした Chrome ブラウザの緊急アップデートは、実際に悪用されているゼロデイ脆弱性 CVE-2025-13223/CVE-2025-13224 に対処するためのものだ。同社はユーザーに対して、直ちにアップデートを行い、高度な攻撃者からのリスクを軽減すべきだと呼びかけている。Windows/Linux 向けの Chrome 安定版 142.0.7444.175 と、Mac 向けの Chrome 安定版 142.0.7444.176 が公開されている。このパッチは、V8 JavaScript エンジンにおける深刻度の高いタイプ・コンフュージョンのバグ2件を修正するものだ。
最も深刻な脆弱性 CVE-2025-13223 は、Google TAG の Clement Lecigne により 2025年11月12日に報告されたものだ。
この脆弱性を悪用するエクスプロイトが既に出回っており、リモートの攻撃者がユーザーのシステム上で操作を必要とせずに任意のコード実行を引き起こすことを、Google は確認している。
ブラウザのエクスプロイトで頻繁に悪用されるタイプ・コンフュージョンの脆弱性は、V8 エンジンが誤ってデータを解釈することで発生し、メモリ破損につながるものだ。この欠陥を突く攻撃者は、Chrome のサンドボックス保護の回避/機密情報の窃取/マルウェアのインストールなどを可能にする。
2つ目の脆弱性 CVE-2025-13224 は、2025年10月9日に Google の Big Sleep ファジング・ツールにより特定されたものだ。
Google TAG の関与が示唆するのは、これらの脆弱性と APT との関連性である。TAG グループは、スパイ活動やサプライチェーン攻撃において、このような脆弱性を悪用する国家支援型の活動を追跡していることが多い。
このインシデントが浮き彫りにするのは、世界中のブラウザの 65% 以上が Chromium ベースのエンジンを使用し、Chrome が標的化されやすい位置に立っていることだ。したがって、タイムリーなパッチ適用が不可欠である。
Google は、AddressSanitizer や libFuzzer といったツールが早期検出に貢献したと評価しているが、報告から攻撃までが1週間もかからないという、脆弱性の悪用タイムラインの速さが懸念される。ユーザーは自動更新を有効化し、疑わしいリンクを避けるべきである。
Chrome のゼロデイが悪用されていた原因として、V8 エンジンのタイプ・コンフュージョンの狙われやすい構造が挙げられています。データの扱いを誤ることで、メモリ破損が生じてコード実行につながるため、攻撃者にとって魅力的な入口になってしまいます。また、報告から悪用までの期間が非常に短く、APT 的な攻撃者がすばやく脆弱性を取り込んでいることも、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Chrome で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.