セキュリティセキュリティ
2025年11月 セキュリティ情報 Google Chrome の脆弱性 [CVE-2025-13223]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年11月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome の脆弱性 [CVE-2025-13223])
情報公開日:2025/11/17(現地時間)
| 一次情報元(引用元) |
"Google Chrome Releases"Stable Channel Update for Desktop (Monday, November 17, 2025) |
| その他、情報ソース |
"NVD" CVE-2025-13223 Detail "Cybersecurity Help s.r.o." Multiple vulnerabilities in Google Chrome "Security NEXT" 「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開 |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-13223 深刻度:High (CVSSスコア 無し) |
| 脆弱性内容 |
Google 社は自社のブラウザ「Google Chrome」にて悪用が確認されているJavaScriptエンジン「V8」の脆弱性[CVE-2025-13223]を公開した。 当該脆弱性はリモートから悪用可能。攻撃手口は、ターゲットを騙し細工した悪意のあるサイトに当該ブラウザでアクセスさせる形が想定される。攻撃が成立すると、任意コードが実行される恐れがある。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
Windows 版Google Chrome 142.0.7444.175より前のバージョン Mac 版Google Chrome 1142.0.7444.176より前のバージョン Linux 版Google Chrome 142.0.7444.175より前のバージョン |
| 解決策 | Google Chrome 最新版にアップデートを行う。 |
| コメント |
日頃利用するブラウザであるため、優先度を上げUpdateを行うこと、もしくは自動Update設定を行うことを強くお勧めいたします。
|
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/11/3 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。
"Apple security releases (Release date「3 Nov 2025」箇所を参照)" https://support.apple.com/en-il/100100 |
| 2025/11/5 更新 | シスコシステムズ合同会社 複数製品 | シスコシステムズ合同会社は9/25に公表した同社製品の「Cisco Secure Firewall Adaptive Security Appliance ソフトウェアおよびSecure Firewall Threat Defense ソフトウェア」の脆弱性情報を更新。更新内容は当該脆弱性に対し攻撃試行が行われていることを追記している。
"Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB "Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW |
| 2025/11/10 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (November 10, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-10-2025 |
| 2025/11/11 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性1件も修正されている。
"2025 年 11 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Nov "2025 年 11 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2025/11/202511-security-update/ 悪用が確認されている脆弱性 "Windows Kernel Elevation of Privilege Vulnerability - CVE-2025-62215" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62215 |
| 2025/11/11 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/11/11 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, November 11, 2025)" https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html "Chrome for Android Update (Tuesday, November 11, 2025)" https://chromereleases.googleblog.com/2025/11/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, November 11, 2025)" https://chromereleases.googleblog.com/2025/11/chrome-stable-for-ios-update_01964603427.html |
| 2025/11/11 | Mozilla Firefox/Firefox ESR | Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。十分な努力をすれば、悪用可能な任意コード実行脆弱性も修正されている。
"Mozilla Foundation Security Advisory 2025-87 Security Vulnerabilities fixed in Firefox 145" https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/ "Mozilla Foundation Security Advisory 2025-89 Security Vulnerabilities fixed in Firefox ESR 115.30" https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/ "Mozilla Foundation Security Advisory 2025-88 Security Vulnerabilities fixed in Firefox ESR 140.5" https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/ |
| 2025/11/13 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (November 13, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-13-2025 |
| 2025/11/14 | FortiWeb | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、同日に公開されたFortinet 社製品「FortiWeb」の脆弱性「CVE-2025-64446」が悪用されていることを公表。
"CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : November 14, 2025)" https://www.cisa.gov/news-events/alerts/2025/11/14/cisa-adds-one-known-exploited-vulnerability-catalog "Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products" https://www.cisa.gov/news-events/alerts/2025/11/14/fortinet-releases-security-advisory-relative-path-traversal-vulnerability-affecting-fortiweb "PSIRT Path confusion vulnerability in GUI" https://fortiguard.fortinet.com/psirt/FG-IR-25-910 |
| 2025/11/18 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Google Chromeで修正されたゼロデイ脆弱性「CVE-2025-13223」の修正も行われている。
"Release notes for Microsoft Edge Security Updates (November 18, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-18-2025 |
| 2025/11/20 | PHPの複数バージョン | PHPの複数バージョン「8.3.28」「8.4.15」「8.5.0」をリリース。
"ChangeLog - Version 8.3.28" https://www.php.net/ChangeLog-8.php#8.3.28 "ChangeLog - Version 8.4.15" https://www.php.net/ChangeLog-8.php#8.4.15 "ChangeLog - Version 8.5.0" https://www.php.net/ChangeLog-8.php#8.5.0 |
注目したインシデント
2025年10月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/10/28 | 地方自治体 | 飲酒によるPC及びハードウェア紛失 | 飲酒により路上で眠り、警官に起こされた後HDD、USBメモリ、GIGA端末等が紛失していることが判明。 |
| 2025/10/29 | 銀行 | 業務委託先へのサイバー攻撃による個人情報漏えい | 業務委託先が使ってた入力補助ツールに対する攻撃により、同行の情報が漏えいしたとのこと。 |
| 2025/10/30 | 健康食品・サプリメント製造/販売 | ECサイトへの不正アクセスによる情報漏えいの可能性 | 委託事業者が管理するサーバ上のアプリケーションに脆弱性が存在していることが判明。不正アクセスはこれが原因とみられるとコメント。 |
| 2025/10/31 | その他の事業サービス業 | システム不具合による個人情報漏えい | とある優待割引サービスにおいて実施したリニューアル作業に伴う不具合により、別人の個人情報が表示される事態を確認したと発表。 |
| 2025/10/31 | 小売業 | 不正アクセスによる個人情報漏えいの可能性 | 一部システムの脆弱性を突かれ、カード決済プログラムが改ざんされたとのこと。 |
| 2025/11/5 | サービス(飲食)業 | ECサイトへの不正アクセスによる個人情報漏えいの可能性 | 原因は当サイトで利用している購入システム(ショッピングカート)を運営する事業者に対し第三者が不正アクセスを行い、同社が管理するサーバ上のアプリケーションの一部に存在した脆弱性が悪用されたものと考えられるとコメント。 |
| 2025/11/10 | 機械、その他製造業 | 海外グループ会社利用サービスへのゼロデイ攻撃による情報漏えいの可能性 | グループ会社が利用しているクラウドサービス環境がゼロデイ攻撃を受けたとサービスプロバイダから連絡があったとコメント。 |
| 2025/11/11 | 図書館 | 再委託先への不正アクセスによる利用者情報漏えいの可能性 | 大手から再委託された企業の社内ネットワークに不正アクセスが発生。当該企業経由で図書館が保有するシステムに不正アクセスされた。 |
| 2025/11/20 | 大学 | 不正アクセスによるサイト改ざん | 同サーバの管理者アカウントが不正アクセスを受け、ページ改ざんや不正ファイル設置が行われた。 |
