Google Chromeに存在し、実際に悪用されていた重大なセキュリティ脆弱性が同社によって修正されました。
この問題はCVE-2025-6554として追跡されており、ChromeのV8 JavaScriptおよびWebAssemblyエンジンにおける型混同の脆弱性です。
この脆弱性により、攻撃者は細工されたウェブページをユーザーに開かせることで、任意の読み書き操作を実行できました。Googleは、この脆弱性がすでに実際に悪用されていたことを確認しています。
Google脅威分析チームによる脆弱性の発見
このバグは、GoogleのThreat Analysis Group(TAG)に所属するClément Lecigne氏によって6月25日に報告されました。TAGは国家主体の攻撃に関連する高度な攻撃の発見で知られるチームです。
米国国立脆弱性データベース(NVD)によると、この脆弱性はバージョン138.0.7204.96より前のChromeに影響し、攻撃者が任意のコードを実行したり、プログラムをクラッシュさせたりする可能性があります。
翌日の6月26日、GoogleはすべてのプラットフォームのStableチャンネルに設定変更を展開し、Windows(バージョン138.0.7204.96/.97)、macOS(138.0.7204.92/.93)、Linux(138.0.7204.96)のユーザーに対するリスクを軽減しました。
型混同:深刻な影響を及ぼす脆弱性
型混同エラーは深刻なセキュリティリスクをもたらす可能性があります。プログラムがオブジェクトの型を誤って認識すると、攻撃者はソフトウェアを操作してメモリの範囲外にアクセスできるようになります。これにより、以下のような攻撃が可能となります:
-
任意のコード実行
-
ドライブバイダウンロード
-
スパイウェアのインストール
-
気付かれないデータの流出
最新ブラウザにおけるゼロデイ脆弱性についてさらに読む:ロシアのRomCom APTグループ、FirefoxおよびWindowsのゼロデイ脆弱性を悪用
TAGが関与していることから、このエクスプロイトがジャーナリスト、反体制派、政治的対立者など著名な個人を標的としたキャンペーンの一部であった可能性が示唆されます。ただしGoogleは、ユーザー保護と継続中のパッチ適用を理由に、技術的な詳細や標的となった人物については明らかにしていません。
ChromeおよびChromium系ブラウザへの緊急アップデート推奨
ほとんどのユーザーは自動的に修正を受け取りますが、手動でのアップデートは「設定 > ヘルプ > Google Chromeについて」から実行できます。
複数の端末を管理する組織は、パッチの適用状況を確認し、自動ブラウザアップデートを有効にして最適なセキュリティを維持する必要があります。
Microsoft Edge、Brave、Opera、Vivaldiなど、Chromiumをベースとした他のブラウザも影響を受ける可能性があり、修正がリリースされ次第アップデートする必要があります。
CVE-2025-6554の対応により、Googleは今年4件目のゼロデイ脆弱性に対処したことになります。これまでの脆弱性には、サンドボックスの回避やメモリの範囲外アクセスの弱点が含まれており、そのうちの1件はロシアの機関を標的としたスパイ活動に関連していました。
画像クレジット:viewimage / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/google-patch-chrome-zero-day/