Google fixed the second actively exploited Chrome zero-day since the start of the year
2025/06/03 SecurityAffairs — Google が発表したのは、Chrome ブラウザに存在する3 件の脆弱性に対処するための、緊急アップデートのリリースである。そのうちの CVE-2025-5419 は、すでに実際の攻撃での悪用が確認されている。この脆弱性は、以前の Google Chrome に搭載されていた、V8 JavaScript エンジンにおける境界外 Read/Write の欠陥である。この脆弱性を悪用する攻撃者は、細工された HTML ページを介して、ヒープ破損を引き起こす可能性を手にする。
Google Threat Analysis Group に所属する Clement Lecigne と Benoit Sevens は、2025年5月27日の時点で、この脆弱性を報告した。翌日の 5月28日に Google は、すべての Chrome Stable プラットフォームに対して、コンフィグのアップデートを適用し、この問題を修正している。
Chrome Stable チャネルでは、Windows/macOS 向けのバージョン 137.0.7151.68/.69 と、Linux 向けのバージョン 137.0.7151.68 が提供され、今後の数日中に世界のユーザーにいきわたるという。なお、Google は、この脆弱性を利用した攻撃に関する技術的な詳細については、いつもの通り開示していない。
今回のアップデートにあわせて、Google は Blink レンダリング・エンジンにおける、解放後メモリ使用 (use-after-free) の脆弱性 CVE-2025-5068 にも対応している。この中程度の深刻度 (Medium) に分類される脆弱性は、2025年4月7日に Walkman によって報告されたものだ。
なお Google は、今年に入って積極的に悪用された最初のゼロデイ脆弱性にも対応し、2025年3月の時点で Chrome 向けに緊急修正プログラムをリリースしている。この高深刻度 (High) に分類される脆弱性は、Windows 版 Chrome に存在し、CVE-2025-2783 として追跡されている。
この CVE-2025-2783 は、Windows 上の Mojo において、未特定の条件下で不正なハンドルが提供されるという問題を引き起こす。Kaspersky に所属する研究者 Boris Larin (@oct0xor) および Igor Kuznetsov (@2igosha) が、2025年3月20日に、この脆弱性を報告した。Kaspersky の報告によると、この脆弱性はロシアの組織を標的とした攻撃で、積極的に悪用されたという。
Mojo とは、Chromium ベースのブラウザにおける、Google の IPC ライブラリであり、サンドボックス化されたプロセスを通じて安全な通信を実現している。Windows 環境において、Chrome のセキュリティを強化しているが、過去にはサンドボックスの回避や権限昇格を可能にする脆弱性が確認されていた。
Chrome のような、広く使われるソフトにも、ゼロデイ脆弱性は潜んでいます。いつも、Google の対応は迅速であり安心を覚えますが、アップデートを見逃さないよう、気をつけなければなりませんね。よろしければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.