グーグルはChromeに対する攻撃が進行中だと突然警告し、すべてのデスクトップユーザー向けに緊急アップデートを配信した。同社は月曜日、「CVE-2025-13223の悪用がすでに実展開している」と認めた。
この脆弱性は「V8における型混同」(Type Confusion)で、先週、グーグルのThreat Analysis Group(脅威分析グループ)が発見した。この修正は緊急で提供されており、その深刻さを物語っている。
アップデートは自動的にダウンロードされるはずだが、適用を完了させるにはブラウザーを再起動する必要がある。通常のタブは再読み込みされるが、プライベートの「シークレットモード」のタブは復元されない。開いている作業は保存しておくこと。
米国国立標準技術研究所(NIST)によれば、「142.0.7444.175より前のGoogle ChromeにおけるV8の型混同により、細工されたHTMLページを通じてヒープ破損を遠隔の攻撃者に悪用される可能性があった」。この脆弱性は深刻度「高(High)」に分類されている。
例によってグーグルは次のようにも述べている。「修正がユーザーの大多数に行き渡るまで、バグの詳細やリンクへのアクセスを制限する場合がある。また、このバグが他のプロジェクトも依存するサードパーティ製ライブラリーに存在し、まだ修正されていない場合も、制限を維持する」。
今回のアップデートにより、安定版(Stable)チャネルはWindowsで142.0.7444.175/.176、Macで142.0.7444.176、Linuxで142.0.7444.175になる。いつもなら「今後数日から数週間で段階的に展開する」とされているが、今回はすぐに入手できるはずだ。
Google Chromeのゼロデイ脆弱性(発見と同時に悪用される脆弱性)は珍しくないが、修正の開発と配信の速さは高く評価される。再起動を促す表示が出たら、すべてのユーザーはただちにブラウザーを更新すべきだ。
Chromeをすぐにアップデートする場合
※アドレスバーに「chrome://settings/help」と入力すると、「Google Chrome について」を直接開ける
(1)ウインドウ右上にある「︙」(点が縦に3つ並んだアイコン)→[ヘルプ]→[Google Chrome について]の順番で開く
(2)「Google Chrome について」画面では、最新版の確認とダウンロードが自動で開始される(「更新」ボタンが表示されているときは、これをクリック)
(3)「再起動」と表示されたらクリック
(4)Chromeの再起動後、「Chromeは最新の状態です」と表示されたら完了
