Googleは、実際に悪用されている脆弱性に対応するため、Chromeブラウザのセキュリティアップデートをリリースしました。
このゼロデイ脆弱性はCVE-2025-6554(CVSSスコア:該当なし)として追跡されており、V8 JavaScriptおよびWebAssemblyエンジンにおける型混乱の不具合と説明されています。
「Google Chromeのバージョン138.0.7204.96より前のV8における型混乱により、リモートの攻撃者が細工されたHTMLページを通じて任意の読み書きを実行できる可能性がありました」と、NISTのNational Vulnerability Database(NVD)のバグ説明には記載されています。
型混乱の脆弱性は、深刻な結果を引き起こす可能性があり、悪用されると予期しないソフトウェアの挙動を誘発し、任意のコード実行やプログラムのクラッシュにつながることがあります。
このようなゼロデイバグは特にリスクが高く、攻撃者が修正前から利用を始めることが多いです。実際の攻撃では、これらの脆弱性を利用してスパイウェアのインストールやドライブバイダウンロード、悪意あるコードの密かな実行が可能となり、時には悪質なウェブサイトを開くだけで被害に遭うこともあります。
GoogleのThreat Analysis Group(TAG)のClément Lecigne氏が2025年6月25日にこの脆弱性を発見・報告しており、標的型攻撃で兵器化されていた可能性が示唆されています。
GoogleのThreat Analysis Groupが関与している場合、エクスプロイトが標的型攻撃、場合によっては国家主体や監視活動に関連している可能性が高いことを示しています。TAGは通常、フィッシングキャンペーンやゼロクリックエクスプロイト、ブラウザのサンドボックス回避の試みなど、深刻な脅威を調査しています。
テクノロジー大手であるGoogleは、この問題が翌日に設定変更によって緩和され、すべてのプラットフォームのStableチャンネルに配信されたことも明らかにしました。一般ユーザーにとっては、現時点で脅威が広範囲に及んでいない可能性もありますが、特に機密性や高価値データを扱う役割の方は、早急なパッチ適用が重要です。
Googleは、この脆弱性や悪用者に関する追加情報は公開していませんが、「CVE-2025-6554のエクスプロイトが実際に存在する」ことを認めています。
CVE-2025-6554は、今年に入ってからGoogleが対応したChromeの4件目のゼロデイ脆弱性であり、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419に続くものです。ただし、CVE-2025-4664が悪意ある目的で悪用されたかどうかは明らかになっていません。
潜在的な脅威から身を守るため、ChromeブラウザをWindowsの場合はバージョン138.0.7204.96/.97、macOSの場合は138.0.7204.92/.93、Linuxの場合は138.0.7204.96にアップデートすることが推奨されています。
ブラウザが最新かどうか不明な場合は、「設定」>「ヘルプ」>「Google Chromeについて」に進むと、自動的に最新アップデートが適用されます。複数の端末を管理する企業やITチームは、自動パッチ管理の有効化やブラウザバージョンのコンプライアンス監視が重要です。
Microsoft Edge、Brave、Opera、Vivaldiなど、他のChromiumベースのブラウザのユーザーも、修正プログラムが提供され次第、適用することが推奨されています。
翻訳元: https://thehackernews.com/2025/07/google-patches-critical-zero-day-flaw.html