Google Chrome のゼロデイ脆弱性 CVE-2025-5419：PoC 公開と実環境での悪用

PoC Exploit Published for Chrome 0-Day Already Under Active Attack

2025/08/26 gbhackers — Google Chrome の深刻なゼロデイ脆弱性 CVE-2025-5419 (CVSS：7.5) に対する PoC エクスプロイトが、情報の提供から３ヶ月も経たずに公開されたが、それと同時に、実際の悪用事例も多数報告されている。この脆弱性は、Chrome の V8 JavaScript エンジンにおける境界外での読取／書込に起因し、137.0.7151.68 未満のバージョンに影響を及ぼす。その結果として、細工された HTML ページを介した、ヒープ破損が引き起こされる可能性がある。

この脆弱性 CVE-2025-5419 は、６月の初めにセキュリティ研究者たちにより文書化され、6月3日には NVD (National Vulnerability Database) が詳細を公開し、同日に GitHub Advisory Database も、このアドバイザリをミラーリングした。

Chrome セキュリティチームは、この脆弱性の深刻度を High と評価している。6月24日の時点で Google は Stable チャンネル向け暫定アップデートをリリースしたが、修正を含む正確なバージョンは明らかにされておらず、公開パッチが公式の Chrome リリース・タイムラインに反映されていない。

CVE-2025-5419 の CVSS v3.1 におけるベース・スコアは 7.5 であり、攻撃ベクターはネットワークで権限不要だが、悪意のページへのユーザー・アクセスが必要とされる。この脆弱性は、攻撃の複雑さが低く、権限も不要であるため、攻撃者にとって極めて魅力的である。悪用が成功すると、ブラウザ・プロセスが完全に侵害され、機密性／整合性／可用性が脅かされる可能性がある。

GitHub のドキュメントによると、この脆弱性は CWE-125 (境界外読み取り)／CWE-787 (境界外書き込み) に関連し、ヒープ破損を引き起こすという。悪用に成功した攻撃者は、侵害した Chrome プロセスの権限で任意のコード実行を達成し、ホスト OS 上での権限昇格や永続化へと移行する可能性を得る。

セキュリティ企業 MistyMntNCop が、GitHub 上で PoC エクスプロイトと発動手順を公開したことで、CVE-2025-5419 への緊急性はさらに高まっている。このエクスプロイトは、わずかな HTML 改変で V8 のメモリ破損をトリガーし、最終的に任意のコード実行に至ることを実証している。この PoC が公開されたことで、攻撃者による容易な再現／改変／悪用が可能な状況にある。

Microsoft Security Response Center も、脆弱性ガイドに CVE-2025-5419 を掲載し、完全なパッチ適用が行われないと、Chrome を実行する Windows デバイスがリスクにさらされると警告している。

緩和策は公開されているが、JavaScript の無効化、もしくは、Chrome の拡張サンドボックス・フラグを使用する以外に、公式の回避策は存在しない状況である。いずれの緩和策も、ブラウザの機能を大幅に制限するという問題を抱える。Google が正確な修正版を発表していないため、ユーザー組織は自身で、Chrome 環境の保護について早急に判断する必要がある。

管理者にとって必要なことは、新しい Stable 版のリリースが提供され次第、速やかにアップデートを導入することだ。それに加えて、ネットワーク・トラフィックにおける異常な HTML ペイロードの監視や、ブラウザ分離ソリューションの導入によるリスク軽減を検討する必要がある。公式パッチ・バージョンが公開されるまで、このゼロデイ攻撃に対する主な防御は、警戒と迅速な対応となる。

この記事は、Google Chrome のゼロデイ脆弱性 CVE-2025-5419 に関する対応と PoC 公開について説明しています。この脆弱性は、V8 JavaScript エンジンの境界外アクセスが原因で、細工された HTML を処理する際にヒープ破損が生じ、任意コード実行につながる点が危険です。Google は 6月にアップデートを出しましたが、具体的な修正版のバージョンを明示せず、正式パッチもまだ提供されていないと、この記事は指摘しています。その一方で、GitHub 上に PoC が公開され、攻撃者による悪用が容易とされていますが、提供元である MistyMntNCop の実態も不明です。よろしければ、2025/06/03 の「Google Chrome の脆弱性 CVE-2025-5419／5068／2783 が FIX：悪用も確認」も、ご参照ください。