Trusted DesignCVE-2025-13223 の詳細
CVEの情報
説明:
Type Confusion in V8 in Google Chrome prior to 142.0.7444.175 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)
CVE更新日: 2025-11-17 23:15:45.140000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2025-11-19
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.028040000
EPSS更新日: 2026-06-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-13223は、Google ChromeのJavaScript/WebAssemblyエンジンであるV8における型の取り違え(Type Confusion)の脆弱性であり、攻撃者が細工されたHTMLページを介してヒープ破壊を悪用し、任意コード実行やブラウザのクラッシュを引き起こす可能性があるゼロデイ脆弱性です。
1. 脆弱性の概要
1.1 影響
この脆弱性が悪用されると、リモートの攻撃者が細工されたHTMLページをユーザーに閲覧させるだけで、ヒープ破壊を引き起こし、最終的に任意のコード実行(RCE)を可能にする可能性があります。 攻撃者は、ユーザーのシステムを制御したり、機密情報を窃取したり、マルウェアをインストールしたりする可能性があります。 また、ブラウザがクラッシュする可能性もあります。
1.2 深刻度
この脆弱性の深刻度は「高(High)」と評価されています。 共通脆弱性評価システム(CVSSv3.1)におけるベーススコアは8.8です。 TenableのVPR(Vulnerability Priority Rating)では、リスクファクターがCritical(スコア9.0)とされています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
2.2 影響を受ける設定
この脆弱性はV8エンジンに内在するものであるため、特定のユーザー設定が影響を直接受けるわけではありません。
3. 影響を受けた時の兆候
直接的な「兆候」としては、細工されたWebページを閲覧した際にブラウザがクラッシュする可能性があります。 成功した攻撃では、ユーザーが気づかないうちにシステムが制御されたり、情報が窃取されたり、マルウェアがインストールされたりする可能性があるため、明確な兆候が表れない場合もあります。
4. 推奨対策
4.1 本対策
4.2 暫定回避策(緩和策)
CVE-2025-13223はすでに悪用が確認されているゼロデイ脆弱性であるため、可能な限り速やかなパッチ適用が最も重要です。 一般的なゼロデイ攻撃に対する防御策としては、以下が挙げられますが、これらは本質的な解決策ではなく、最終的にはアップデートが必要です。 * 多層防御の導入 * 不審なファイルや信頼できないソースからのメール、添付ファイル、リンクの実行回避 * 異常な挙動を早期に検知するためのセキュリティ監視の強化 * ベンダーの正式パッチがリリースされるまでの間、セキュリティ製品の機能を利用した仮想パッチの適用
5. その他解説すべき観点
参照したサイト