U.S. CISA adds Google Chromium V8 flaw to its Known Exploited Vulnerabilities catalog
2025/06/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium V8 に存在する境界外 Read/Write の脆弱性 CVE-2025-5419 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。先日に Google は、Chrome ブラウザの3つの脆弱性を修正する、定例外アップデートをリリースしたが、そこに含まれる CVE-2025-5419 は、現時点で悪用されている欠陥である。
この脆弱性は、Google Chrome の旧バージョンに搭載される、V8 JavaScript エンジンの境界外 Read/Write の欠陥である。この脆弱性を悪用する攻撃者は、細工した HTML ページを介してヒープ破損を引き起こすとされる。
2025年5月27日に、Google Threat Analysis Group の Clement Lecigne と Benoit Sevens が、この脆弱性を報告した。その翌日の 2025年5月28日に、Google は Chrome Stable プラットフォームでコンフィグ・アップデートを適用し、この問題に対処した。なお Google は、「CVE-2025-5419 のエクスプロイトが、実際に存在することを認識してい」とアドバイザリに記している。
Chrome Stable では、Windows/Mac向けの バージョン 137.0.7151.68/.69 と、Linux 向けにバージョン 137.0.7151.68 へのアップデートが展開されている。ただし、いつものように Google は、この脆弱性を悪用した攻撃については、技術的な詳細は明らかにしていない。
拘束力のある運用指令 (BOD) 22-01 に基づき、このカタログに掲載された欠陥を悪用する攻撃からネットワークを保護するために、FCEB 機関は定められた期限までに、対処しなければならない。CISA は、連邦政府機関に対して、2025年6月26日までに、この脆弱性を修正するよう命じている。
また、専門家たちは、民間組織に対してもカタログの確認による、インフラの脆弱性への対処を推奨している。
Chromium の脆弱性 CVE-2025-5419 が、実際に悪用されている脆弱性として、KEV カタログに追加されました。V8 のようなコア・コンポーネントでのヒープ破損は深刻な結果を招きますので、速やかなアップデートが推奨されています。なお、この脆弱性に関する第一報は、CVE-2025-5419 の「Google Chrome の脆弱性 CVE-2025-5419/5068/2783 が FIX:悪用も確認」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.