Google、ChromeのV8ゼロデイCVE-2025-13223を修正

Source:https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html

🛡 概要

Googleは、ChromeのV8（JavaScript/WebAssembly）エンジンに存在するゼロデイ脆弱性CVE-2025-13223（CVSS 8.8）に対処する緊急セキュリティ更新を公開しました。本件は実際に悪用が確認されており、攻撃者が細工したHTMLページを介してヒープ破壊を引き起こし、任意コード実行やブラウザのクラッシュに至る可能性があります。併せて、同じくV8の型混同行に関するCVE-2025-13224（CVSS 8.8）も修正されました。Windowsは142.0.7444.175/.176、macOSは142.0.7444.176、Linuxは142.0.7444.175への更新が推奨されています。Edge/Brave/Opera/VivaldiなどChromium系ブラウザ利用者も、配信され次第ただちに適用してください。

🔍 技術詳細

対象のCVE-2025-13223はV8における型混同行（Type Confusion）で、JIT最適化や型推論に起因する不整合から、メモリ境界外アクセスやヒープ破壊が誘発される典型的な欠陥です。NVDの説明では「細工されたHTMLページによりヒープ破壊を誘発できる」とされており、実際の攻撃は悪意あるウェブサイト、広告枠、もしくは埋め込みコンテンツ経由のドライブバイ型で成立し得ます。一般的なV8型混同行の悪用手順は、(1) JITの誤最適化を引き出すトリガJavaScriptで型混同行を発生、(2) 任意アドレス書き込み/読み出しの原始（プリミティブ）を獲得、(3) ROP/JOPやW^X回避によりシェルコード/ペイロードを実行、という流れです。ブラウザサンドボックス外への権限逸脱は別の脆弱性やOS機能悪用を要しますが、少なくともブラウザプロセス権限でのコード実行・情報窃取・セッション乗っ取りが可能になります。CVE-2025-13224も同じV8の型混同行であり、攻撃面は共通します。いずれもCVSS 8.8で、ユーザーの介在はあるものの、広範な露出と悪用容易性が高い点が評価に反映されています。

⚠ 影響

• ユーザー影響: 悪性サイト閲覧だけで任意コードがブラウザ権限で動作し、認証トークン、Cookie、フォーム入力、クリップボード、WebRTCセッションなどが窃取される恐れ。
• 企業影響: SSOセッションの乗っ取り、社内SaaSやポータルへの不正アクセス、EDR回避のファイルレス実行（子プロセス生成）による初期感染起点の創出。
• サプライチェーン影響: 共同編集リンクや広告ネットワーク経由の拡散。Chromium系ブラウザに広く波及。

🛠 対策

• 緊急更新: Chromeを142.0.7444.175/.176（Win）、142.0.7444.176（macOS）、142.0.7444.175（Linux）へ。設定 > ヘルプ > Chromeについて > 再起動で適用。
• Chromium系も適用: Edge/Brave/Opera/Vivaldiはベンダー配信後すぐに更新。
• ブラウザ保護強化: サイト分離（–site-per-process）、拡張機能の最小化、不要なフラグ無効化、HTTPS-Only Modeの有効化。
• エクスプロイト緩和: OSの最新化、CFG/ACG（Windows）、SIP/AMFI（macOS）等の保護を有効に。
• プロキシ/ゲートウェイ: 既知悪性ドメイン/URLカテゴリ遮断、ダウンロード検査、HTTP/2/3の可視化。
• 最小権限: ブラウザからのPowerShell/スクリプト実行をアプリ制御（WDAC/AppLocker）で制限。

📌 SOC視点

• プロセス監視: chrome.exe/chromiumが子プロセスとしてpowershell.exe、cmd.exe、wscript.exe、mshta.exe、rundll32.exe、regsvr32.exeを生成する挙動を高優先度検知。
• クラッシュ相関: 直前にブラウザクラッシュ（例: 0xC0000005アクセス違反）やCrashpadレポート増加と不審通信を相関分析。
• モジュール監視: ブラウザプロセスへの未署名/異常DLLロードを検知。EDRのコードインジェクション/メモリ保護アラートを確認。
• ネットワーク: 新規/低評判ドメインへの短時間での高頻度アクセス、疑わしいJavaScript配信CDN、広告枠経由のリダイレクトチェーン。
• 資産準拠: バージョン142.0.7444.175/176未満の端末一覧と更新未適用端末の隔離ワークフロー。

📈 MITRE ATT&CK

• TA0001 初期アクセス: T1189 Drive-by Compromise（細工されたHTMLページ閲覧での侵入起点。NVD記述の通り「crafted HTML page」による悪用）。
• TA0002 実行: T1203 Exploitation for Client Execution（クライアント側の脆弱性悪用によりブラウザプロセスでコード実行）。
• TA0011 C2（該当し得る）: ブラウザから外部C2へビーコン化。ただし本件単体での持続化は未確認。

🏢 組織規模別助言

• 小規模（〜50名）: ブラウザ自動更新を有効化し、週次で「Chromeについて」を開いて強制更新。管理者権限の常用禁止、標準ユーザー運用へ移行。
• 中規模（50〜500名）: MDM/グループポリシーでChromeのバージョンピン留めと段階的ロールアウト、WDAC/AppLockerでスクリプト系子プロセスをブロック。SW資産台帳と照合し未更新端末を隔離。
• 大規模（500名以上）: パッチSLA（例: インターネット接続端末は48時間以内適用）を設定。プロキシでJavaScript/広告カテゴリの分離、仮想化/リモートブラウジングの検討。SOCでブラウザ異常振る舞いのユースケース化。

🔎 類似事例

• 2025年の関連ゼロデイ/PoC公開: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585（いずれもChromeで取り込み済み）。
• 同年の型混同行: CVE-2025-6554, CVE-2025-10585（V8の型混同行）。
• 参考となる過去のV8型混同行の実害例: CVE-2024-4947, CVE-2023-2033（V8の型混同行が実地で悪用された例として広く報告）。

🧭 次の一手

• 全端末のChrome/Chromium系のバージョンを即時可視化し、142.0.7444.175/176以上に是正。
• EDRで「ブラウザ→スクリプト実行系子プロセス」を高リスク検知に格上げし、阻止ポリシーを適用。
• ブラウザ更新の自動化（GPO/MDM）と、社内ポータルでの緊急周知を本日中に実施。