Chrome のゼロデイ脆弱性 CVE-2025-6554 が FIX:すでに活発な悪用を観測

Chrome 0-Day Vulnerability Exploited in the Wild to Execute Arbitrary Code – Patch Now

2025/07/01 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザの深刻なゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートである。この脆弱性 CVE-2025-6554 (深刻度 High) は、すでに悪用が確認されている。この脆弱性 は、Chrome の V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因する。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。

要約
  1. 脆弱性 CVE-2025-6554 は、Chrome の V8 エンジンにおける高深刻度のタイプ・コンフュージョンに起因する、任意のコード実行に至る可能性がある。すでに悪用が確認されている。
  2. この脆弱性は、Windows 版は 138.0.7204.96/.97、Mac 版は138.0.7204.92/.93、Linux 版は 138.0.7204.96 で修正されている。
  3. この脆弱性の実際の悪用について、Google は認めている。
  4. 2025年6月26日に緩和措置が適用されているが、最新のアップデートによる完全なパッチ適用が必要となる。
  5. ユーザーに推奨されるのは、[設定] > [Chrome について] から Chrome を直ちにアップデートし、システムを保護することである。

今回のアップデートにより、Chrome は以下のバージョンへと更新される:

  • Windows:バージョン 138.0.7204.96/.97
  • Mac:バージョン 138.0.7204.92/.93
  • Linux:バージョン 138.0.7204.96

ユーザーのセキュリティに直結する、危険な脆弱性へ緊急パッチが提供されたが、数日から数週をかけた段階的なデプロイメントにより、Google の大規模なユーザーベースに対応していくという。

Chrome の JavaScript/WebAssembly エンジンである V8 のタイプ・コンフュージョンに、脆弱性 CVE-2025-6554 は起因する。この脆弱性の悪用に成功した攻撃者は、メモリの割り当てを操作し、システム・リソースに対する不正アクセスの機会を得る。

この脆弱性は、Google の Threat Analysis Group に所属する Clement Lecigne により、2025年6月25日に社内で発見/報告されたものだ。それが示すのは、Google 内部における継続的なセキュリティ監視体制の成果である。

この報告が行われた翌日の 6月26日に Google は、すべてのプラットフォームの Stable 版ユーザー向けに、コンフィグレーション変更による緩和策を提供した。ただし、この対応は一時的な措置に過ぎず、完全な保護を確保するためには、最新バージョンへと Chrome ブラウザを更新する必要がある。

積極的な悪用を確認

この脆弱性 CVE-2025-6554 を標的とするエクスプロイトが、すでに出回っていることを、Google のセキュリティ・チームは認めている。したがって、今回のアップデートは、きわめて緊急性の高いものとなっている。

実際の悪用を Google が認めたことが意味するのは、この脆弱性を武器化した攻撃者が、悪意の Web サイトや改竄された Web アプリを通じて、無防備なユーザーを標的にしている可能性である。

このタイプ・コンフュージョンの脆弱性はメモリ破損を引き起こし、ブラウザ・プロセスと同じ権限での任意のコード実行を引き起こす可能性があるという、きわめて危険なものである。したがって、攻撃が成功すると、システムの侵害/データの窃取/マルウェア・インストールなどにつながる恐れがある。

Chrome ユーザーに推奨されるのは、 [設定] → [Chrome について] にアクセスし、ブラウザのバージョンを確認し、速やかなアップデートを実行することである。この操作により、自動的に更新チェックが行われ、セキュリティ・パッチがダウンロード/適用される。ただし、アップデートの反映は、ブラウザの再起動後となるため注意が必要だ。

Chrome を使用する企業/組織に強く推奨されるのは、このアップデートを最優先し、ネットワーク全体で適用することだ。今回のような、すでに悪用が確認されている深刻な脆弱性への対応は、組織のサイバー・セキュリティ態勢を維持するために不可欠である。

今後も Google は、AddressSanitizer/MemorySanitizer/libFuzzer などの高度なセキュリティ技術を活用し、同様の脆弱性が製品版に到達する前に、検出/防止する取り組みを続けていく方針とのことだ。

Google が、Chrome の緊急セキュリティ・アップデートをリリースしました。V8 エンジンの型混乱に起因するゼロデイ脆弱性 CVE-2025-6554 が、すでに悪用され、攻撃者による任意のコード実行にいたる可能性があるとのことです。ご利用のユーザーさんは、ご注意ください。よろしければ、Chrome で検索も、ご参照ください。