Googleは月曜日に、Chromeブラウザにおける3つのセキュリティ問題に対処するためのアウトオブバンド修正をリリースしました。その中には、実際に野放しで悪用されているとされるものも含まれています。
この高深刻度の欠陥はCVE-2025-5419として追跡されており、V8 JavaScriptおよびWebAssemblyエンジンにおけるアウトオブバウンズの読み書きの脆弱性として報告されています。
“Google Chromeのバージョン137.0.7151.68以前におけるV8のアウトオブバウンズ読み書きにより、リモート攻撃者が細工されたHTMLページを介してヒープ破損を悪用する可能性がありました”と、NISTの国家脆弱性データベース(NVD)におけるバグの説明に記されています。
Googleは、Google脅威分析グループ(TAG)のClement LecigneとBenoît Sevensが2025年5月27日にこの欠陥を発見し報告したことを認めました。また、この問題は翌日に、すべてのプラットフォームでブラウザの安定版への設定変更を行うことで対処されたと述べています。
慣例として、脆弱性を利用する攻撃の性質やそれを行っている脅威アクターの身元に関する詳細は控えめにされています。これは、修正が多数のユーザーに行き渡るようにし、他の悪意あるアクターが悪用に加わるのを防ぐためです。
“Googleは、CVE-2025-5419の悪用が野放しで存在することを認識しています”と、テクノロジーの巨人は認めました。
CVE-2025-5419は、今年Googleがパッチを適用した2番目の積極的に悪用されているゼロデイであり、Kasperskyがロシアの組織を標的とする攻撃で武器化されたと特定したCVE-2025-2783(CVSSスコア: 8.3)に続きます。
ユーザーには、潜在的な脅威から守るために、WindowsおよびmacOS用のChromeバージョン137.0.7151.68/.69、およびLinux用のバージョン137.0.7151.68へのアップグレードが推奨されています。Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザのユーザーも、修正が利用可能になった際に適用することが推奨されます。
翻訳元: https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html