まとめ記事 Google、2025年6件目のChromeゼロデイ脆弱性を緊急修正
今回の脆弱性
- 脆弱性番号:CVE-2025-10585
- 種類:V8 JavaScriptエンジンにおける type confusion(型混乱)
- 深刻度:高(high severity)
- 報告元:GoogleのThreat Analysis Group(TAG)
- 悪用状況:Googleは「実際の攻撃で利用された」と確認済み
TAGはしばしば、政府支援型のスパイウェアキャンペーンでゼロデイ悪用を発見しており、今回も高リスク個人(政治家、ジャーナリスト、活動家など)が標的になった可能性が高い。
対応とアップデート情報
- 修正版バージョン:
- Windows/Mac:140.0.7339.185/.186
- Linux:140.0.7339.185
- リリース日:2025年9月17日
- 配信:数週間かけてStable Desktopチャンネルに展開予定
Chromeは自動更新されるが、手動で即時適用するには:
- Chromeメニュー → [ヘルプ] → [Google Chromeについて] をクリック
- 更新完了後に「再起動(Relaunch)」を押す
今年修正されたゼロデイ一覧(2025年)
今回で6件目の修正。すでに以下のゼロデイが報告・修正されている。
- 3月:CVE-2025-2783(サンドボックス回避、カスペルスキーが発見。ロシア政府機関などを狙った攻撃に使用)
- 5月:CVE-2025-4664(アカウント乗っ取り可能な脆弱性)
- 6月:CVE-2025-5419(V8における境界外読み書き)
- 7月:CVE-2025-6558(サンドボックス回避。TAGが発見)
- その他:5件目は同年春に緊急パッチ適用済み
昨年(2024年)は10件のゼロデイが修正されており、Chromeは依然として攻撃者の主要ターゲットである。
背景と影響
- ゼロデイの多発は、Chromeの利用規模の大きさと同時に、国家支援型攻撃グループが積極的にWebブラウザを狙っていることを示している。
- Googleは詳細情報を「ユーザーの大半が修正済みになるまで」非公開とし、第三者ライブラリへの依存がある場合も開示を遅らせる方針。
- 利用者は即時アップデートが推奨される。
✅ 結論:Chromeは今年すでに6件のゼロデイ攻撃を受けており、ユーザーのセキュリティ確保には迅速なアップデート適用が必須。
