Googleは、攻撃で悪用された別のChromeゼロデイ脆弱性を修正する緊急アップデートをリリースしました。これは今年に入ってから修正された4件目の同様の脆弱性です。
「GoogleはCVE-2025-6554のエクスプロイトが実際に存在することを認識しています」と、ブラウザベンダーは月曜日に発表したセキュリティアドバイザリで述べています。「この問題は2025年6月26日に、すべてのプラットフォームのStableチャンネルに対して構成変更を適用することで緩和されました。」
同社は、Stable Desktopチャンネルのユーザー向けにゼロデイ脆弱性を修正し、Windows(138.0.7204.96/.97)、Mac(138.0.7204.92/.93)、Linux(138.0.7204.96)向けの新バージョンを、問題がGoogleに報告された翌日に世界中に展開しました。
このバグは、GoogleのThreat Analysis Group(TAG)に所属するClément Lecigne氏によって発見されました。TAGは、Googleの顧客を国家支援型やその他の類似した攻撃から守ることに特化したセキュリティ研究者の集団です。
Google TAGは、政府支援の脅威アクターが、野党政治家、反体制派、ジャーナリストなどのハイリスク個人をスパイウェアで感染させる標的型攻撃で使用するゼロデイエクスプロイトを頻繁に発見しています。
Googleによると、CVE-2025-6554を修正するセキュリティアップデートがすべてのユーザーに行き渡るまでには数日から数週間かかる可能性がありますが、BleepingComputerが本日アップデートを確認したところ、すぐに利用可能でした。
手動でのアップデートを希望しないユーザーも、ウェブブラウザが自動的に新しいアップデートを確認し、次回の起動時にインストールすることができます。
本日修正されたゼロデイバグは、ChromeのV8 JavaScriptエンジンに存在する高深刻度の型混同の脆弱性です。このような脆弱性は、通常、バッファ境界外のメモリを読み書きすることでブラウザのクラッシュにつながりますが、攻撃者は未修正のデバイスで任意のコードを実行するためにも悪用できます。
Googleはこの脆弱性が実際に悪用されたと述べていますが、現時点では技術的な詳細やこれらの攻撃に関する追加情報は共有していません。
「修正が大多数のユーザーに適用されるまで、バグの詳細やリンクへのアクセスは制限される場合があります。また、このバグが他のプロジェクトも依存しているサードパーティライブラリに存在し、まだ修正されていない場合も制限を維持します」とGoogleは述べています。
これは今年に入ってから修正された4件目の積極的に悪用されたGoogle Chromeのゼロデイ脆弱性であり、3月、5月、6月にもそれぞれ修正されています。
最初のものは、KasperskyのBoris Larin氏とIgor Kuznetsov氏によって報告された高深刻度のサンドボックスエスケープ脆弱性(CVE-2025-2783)で、ロシア政府機関やメディアを標的としたスパイ活動攻撃でマルウェアとともに利用されていました。
Googleは5月にも、攻撃者がアカウントを乗っ取ることが可能なChromeのゼロデイ(CVE-2025-4664)に対処するため、緊急のセキュリティアップデートをリリースしました。1か月後、同社はGoogle TAGのBenoît Sevens氏とClément Lecigne氏によって発見された、ChromeのV8 JavaScriptエンジンにおける境界外読み書きの脆弱性にも対処しました。
2024年には、Googleは合計10件のゼロデイ脆弱性を修正しており、これらは攻撃で悪用されたか、Pwn2Ownハッキングコンテストで実演されました。
2025年における8つの一般的な脅威
クラウド攻撃はますます巧妙化していますが、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織で検知したデータをもとに、このレポートではクラウドに精通した脅威アクターが使用する8つの主要な手法を明らかにします。