すでに活発な攻撃が進行中であるため、Google は、V8 JavaScript エンジンの重大なゼロデイ脆弱性を修正するために Chrome の緊急セキュリティ アップデートを発行しました。 CVE-2025-13223 として追跡されるこの重大度の高い欠陥により、リモート攻撃者はパッチが適用されていないシステム上のヒープ破損を悪用して悪意のあるコードを実行できます。
Google の脅威分析グループによって発見されたこの脆弱性は、Windows、macOS、Linux 上のブラウザのデスクトップ バージョンに影響を与えます。 Google は、20 億人のユーザーに対し、この脅威を軽減するためにバージョン 142.0.7444.175 を直ちにインストールするよう呼びかけています。
ゼロデイ脅威
状況の深刻さを確認し、Google は「CVE-2025-13223 のエクスプロイトが存在する」ことを認めました。この承認により、CVE-2025-13223 はゼロデイ脆弱性の危険なカテゴリに分類されます。これは、Google のエンジニアが防御策を開発する前に、攻撃者が欠陥を発見し、兵器化したことを意味します。
技術的には、この問題は、Chrome や他の Chromium ベースのブラウザで JavaScript コードを処理するオープンソース コンポーネントである V8 JavaScript エンジン内にあります。
National Vulnerability Database (NIST) によると、「Google Chrome 142.0.7444.175 より前の V8 の型混乱により、リモート攻撃者が細工された HTML ページを通じてヒープ破損を悪用する可能性がありました。」
エンジンはオブジェクト タイプを処理するため、攻撃者はヒープ内のメモリを破損し、ブラウザのクラッシュや、より重大なことに、ブラウザのセキュリティ サンドボックス外での任意のコードの実行につながる可能性があります。
検出と AI 防御
アクティブなゼロデイを特定した功績は、政府支援のハッキングや重大なサイバー犯罪活動を追跡する専門チームである Google の脅威分析グループ (TAG) に与えられます。 11 月 12 日のレポートは、今週リリースされたパッチの急速な開発のきっかけとなりました。
ゼロデイ修正に加えて、このアップデートでは 2 番目の重大度の高い脆弱性、CVE-2025-13224 にも対処しています。悪用された欠陥とは異なり、このバグは AI 支援脆弱性研究プロジェクトである「Google Big Sleep」によって内部的に発見されました。
10 月 9 日に発見されたこの発見は、先制セキュリティ監査における人工知能の有用性が高まっていることを浮き彫りにしています。 TAG では人間のアナリストがアクティブな脅威を発見するために依然として重要ですが、Big Sleep のような自動システムは、複雑なメモリの安全性の問題を攻撃者に悪用される前に特定するために不可欠になりつつあります。
ロールアウトと緩和
これらのリスクに対処するために、Windows および Mac 用の安定チャネルはバージョン 142.0.7444.175/.176 に更新されました。 Linux の場合は 142.0.7444.175。ユーザーは、「Google Chrome について」メニューに移動してインストールを確認できます。これにより、最新バージョンが自動的に確認され、ダウンロードされます。
Google は、完全な開示の前に広く採用する必要性を強調し、次のように述べました。
「大多数のユーザーが修正プログラムで更新されるまで、バグの詳細とリンクへのアクセスは制限されたままになる可能性があります。」
自動パッチ適用が有効になっている消費者にとって手動更新は多くの場合不要ですが、 CVE-2025-13223 により、即時検証が賢明になります。 V8 エンジンは高度な攻撃の一般的なターゲットであるため、企業管理者は管理対象フリート全体でこの展開を優先する必要があります。
重要なことに、保護はブラウザの再起動後にのみアクティブになります。バックグラウンドでアップデートをダウンロードするだけでは、開いているタブやウィンドウで脆弱性が露出したままになります。
