CVE-2025-12036について
CVE-2025-12036に関して質問です。
CVE-2025-12036は、悪意あるウェブページを閲覧するだけで、追加の操作なしに任意の不正コードを実行できる可能性がある。と説明があったのですが
どのようなプログラムのサイトをみるとなるのですか
探しても見当たらないので教えてほしいです
0 likes
4Answer
悪意あるプログラムを仕掛けられた悪意あるサイトを閲覧するとなります。
フィッシングメールなどで悪意あるサイトのURLが送りつけられ、うかつにそのURLにアクセスすると不正コードが実行され、ブラウザに保存された銀行口座アカウント情報などを抜き取られたりランサムウェアによってファイルが暗号化されて身代金を要求されたりすることが考えられます。
実際にどこにあるかはわかりませんが、ゼロデイ悪用の有無は未公表ですし、すぐに消えたりブラックリストに登録されてアクセスできなくなったりるので、自分で見つけるのは難しいと思います。
0Like
脆弱性があるというのはすなわち悪用の危険があるということであるので具体的な概念実証(PoC)は対策の準備ができるまで通常公表されません.
脆弱性情報が公開された時に素人が取るべき行動はまず可能な限りのアップデートを導入することです.
どっかのマスゴミが嬉々としてFeliCaの問題を報道してましたが(そもそもたいした問題でもなかったのもありますが)IPAにブチギレられていますので無闇に情報を探るのはやめてください.
0Like
どのようなプログラムのサイトをみるとなるのですか
@kkk2z
それを知って何がしたのでしょうか?理由を聞かせてもらえませんか?
他の方が答えられてるように、基本的には事前に再現手順が公開されることはほぼありません。
学生とのことですが、あなたがこんな記事を書いてる時点で不審しか有りません。
少年院送りにはしたくないので、少なくとも私は具体的には答えません。
愚かなことを考えてるのならすぐに辞めましょう。
0Like
Comments
@kkk2z
Questioner
Q何をしたいのかとのことですが 答えとしては、単純に知りたいだけです そういう方法があるんだよ〜 的な話はできるだけ知りたいからです。
それに、自分で再現して 実際に確認したいからというのがあります。
アップデートで解決されてるとはいえ、実際にして確認することでわかることもありますし。好奇心を潰しに来ているわけでは無いので、その辺り勘違いしないで下さい。現実的な話です。
相当と思われるIssuesへのアクセスが拒絶され秘匿されています。ようは再現手順は秘密にされている状態です。
私を含め誰もCVE-2025-12036に関して詳細に語れる方は居ないと思います。分かっていたとしても明かすような愚かなことはしないでしょう。「実際に確認したい」と仰ってますが、Chromiumのソースの差分などから分析し、ある程度の予測と、それなりのコードを組み立てられる実行力とスキルが無い限り、相当難しい(無理に近い)と言うことを理解して下さい。
https://rocket-boys.co.jp/security-measures-lab/google-fixes-high-severity-v8-vulnerability-cve-2025-12036-in-chrome-141/
ほかの方も言ってる通り、CVE-2025-12036はまだすべてのユーザーに更新のパッチが回ってないだろうから再現方法は公開されてないよ。
上の記事に書いてある通り、今後数週間でパッチはすべてのユーザーに届く予定らしい。現に自分ももうパッチが入ってました。
まあ少なくとも一か月以上は再現方法は公開されないんじゃないかな。
Chrome V8 javascriptエンジンのレンダリングで型定義がどうこうなってるらしいよ。
0Like