脆弱性の説明
CVE-2025-6554 は、Google Chrome の V8 エンジンにおける型混乱の脆弱性です。バージョン138.0.7204.96より前のGoogle Chromeでは、リモートの攻撃者が悪意のあるHTMLページを細工することで、任意の読み取りおよび書き込み操作を行うことが可能です。
脆弱性の影響を受けるバージョン
Google Chromeのバージョンが138.0.7204.96より低い。
脆弱性の技術的詳細
CVE-2025-6554 は、V8 JavaScript および WebAssembly エンジンの型難読化の脆弱性です。型の難読化の脆弱性は、任意のコードの実行やプログラムのクラッシュにつながる予期せぬソフトウェアの動作を引き起こすために悪用される可能性があり、深刻な結果をもたらす可能性があります。
脆弱性影響面評価
この脆弱性はゼロデイ・エクスプロイトであり、修正プログラムが提供される前に攻撃者が悪用を開始することを意味する。実際の攻撃では、これらの脆弱性を利用することで、ハッカーはスパイウェアをインストールしたり、ドライブバイダウンロードを開始したり、有害なコードを無言で実行したりすることができる。
この脆弱性は、2025年6月25日にグーグルの脅威分析グループ(TAG)のClément Lecigne氏によって発見・報告され、この脆弱性が高度な標的型攻撃に使用された可能性を示唆している。
グーグルはまた、この問題は翌日、すべてのプラットフォームの安定版リリース・チャンネルにプッシュされた設定変更によって緩和されたとも述べている。一般ユーザーにとっては、この脅威はまだ広まっていないかもしれないが、特に機密データや価値の高いデータを扱っている場合は、緊急にパッチを当てる必要があるということだ。
CVE-2025-6554は、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419に続き、今年に入ってからグーグルが対応した4番目のChromeのゼロデイ脆弱性である。 ただし、CVE-2025-4664が悪意を持って悪用されたかどうかは不明である。
脆弱性修正に関する推奨事項
潜在的な脅威から保護するため、ChromeをWindows版138.0.7204.96/.97、macOS版138.0.7204.92/.93、Linux版138.0.7204.96にアップデートすることをお勧めします。
ブラウザが最新かどうかわからない場合は、「設定」>「ヘルプ」>「Google Chromeについて」を選択すると、自動的に最新のアップデートが起動するはずです。-自動的に最新のアップデートが適用されます。複数のエンドポイントを管理する組織やITチームにとって、自動パッチ管理を有効にし、ブラウザのバージョンコンプライアンスを監視することは非常に重要です。
Microsoft Edge、Brave、Opera、Vivaldiなど、他のChromiumベースのブラウザのユーザーも、修正プログラムが利用可能になり次第、すぐに適用することが推奨される。