Chromeが再び攻撃を受ける：Googleが2025年の4番目のゼロデイ脆弱性を修正

Googleは、世界中のWindowsおよびMacユーザーに影響を与えているゼロデイの悪用されている脆弱性に対処するため、月曜日にChromeの緊急セキュリティアップデートをリリースしました。これは2025年初頭以来修正された4番目のChromeゼロデイです。

このゼロデイ脆弱性はCVE-2025-6554として追跡されており、ChromeのV8 JavaScriptおよびWebAssemblyエンジンにおける高危険度の「型混乱」バグ脆弱性として説明されています。

Googleの脅威分析グループ（TAG）のセキュリティ研究者であるクレモン・ルシーニュは、2025年6月25日にこのゼロデイ脆弱性を指摘し、発見と報告に対して評価されています。TAGは国家的な攻撃者に関連する高度な攻撃を明らかにすることで知られています。

脆弱性とは？

V8、ChromeのJavaScriptエンジンにおける型混乱の欠陥は、ブラウザが処理しているデータの型について混乱する場合に発生します。これにより、Chromeがメモリを誤解釈し、任意の読み書きや、場合によっては完全なリモートコード実行（RCE）を引き起こす可能性があります。

この誤りにより、ハッカーがアクセスしてはいけないメモリの部分にアクセスできるようになり、有害なコードを実行したり、ブラウザをクラッシュさせたりすることができます。

「Googleは、CVE-2025-6554の悪用が実際に存在することを認識しています」と、同社は月曜日に発行したセキュリティアドバイザリーで述べました。

国家脆弱性データベース（NVD）によると、この欠陥はChromeのバージョン138.0.7204.96より前のものに影響を与え、攻撃者が悪意のあるコードを実行したり、アプリケーションをクラッシュさせたりする可能性があります。

緩和策

Googleは、2025年6月26日にChromeの安定版チャネルを介してゼロデイ脆弱性を修正するために、サーバー側で一時的な緩和策を展開しました。同社は、Chromeユーザー向けに安定したデスクトップチャネルの完全なパッチを展開しました：Windows（138.0.7204.96/.97）、Mac（138.0.7204.92/.93）、およびLinuxユーザー（138.0.7204.96）。

「バグの詳細やリンクへのアクセスは、大多数のユーザーが修正を受け取るまで制限される場合があります。また、他のプロジェクトが依存しているがまだ修正されていないサードパーティライブラリにバグが存在する場合も制限を維持します」とGoogleは述べました。

Googleは、悪用や攻撃の背後にいる脅威アクターの詳細をまだ開示していません。この欠陥は実際に悪用されているため、ユーザーはできるだけ早くセキュリティパッチを適用して、デバイスと自分自身を重大なセキュリティリスクから保護することを強く推奨します。

Chromeの自動更新は最終的に修正をインストールしますが、設定 > ヘルプ > Google Chromeについてに移動することで手動でChromeを更新することもできます。

なぜこれが4番目なのか？

** 2025年にChromeで修正された以前のゼロデイには、CVE20252783（3月）：WindowsのMojoで不明な状況で提供された不正なハンドル；CVE20254664（5月）：ローダーでの不十分なポリシーの強制；およびCVE20255419（6月）：V8での境界外の読み取りと書き込みが含まれます。

CVE20256554が修正されたことで、これはわずか7か月で対処された4番目のアクティブなゼロデイ脆弱性となります。