Googleが、「Chrome」に存在する重大なセキュリティ脆弱(ぜいじゃく)性にパッチを適用した。同ブラウザーのユーザーは、早急にアップデートするべきだ。Googleは米国時間6月30日、リモートの攻撃者がユーザーのシステム上で悪意あるコードを実行できる深刻度「高」の脆弱性について、情報を公開した。
Googleは最新版Chromeのリリースノートで、この脆弱性「CVE-2025-6554」に言及している。この脆弱性に関する米国立標準技術研究所(NIST)のウェブページによると、「138.0.7204.96より古いバージョンのGoogle Chromeに搭載されている『V8』に型の混乱が生じ、リモートの攻撃者が、細工したHTMLページを介して任意の読み取り/書き込みを実行できる」という。
V8は、GoogleがChromeで採用しているオープンソースのJavaScript/WebAssemblyエンジンだ。今回の件では、コードに存在するプログラミングの問題が、リモートの攻撃者によるデータの窃盗やマルウェアのインストール、システムの乗っ取りを目的とした悪意あるウェブページ作成に悪用される恐れがある。この脆弱性はすでに悪用されており、脆弱性を知った攻撃者が、疑いを持たないChromeユーザーを標的にするのに利用している。
CVE-2025-6554は、Googleの脅威分析グループ(Threat Analysis Group:TAG)のClement Lecigne氏によって6月25日に発見された。同社の研究チームは通常、バグ発見の取り組みを支援するために、「AddressSanitizer」「MemorySanitizer」「UndefinedBehaviorSanitizer」「Control Flow Integrity」「libFuzzer」「AFL」などのツールを利用する。
幸いなことに、Googleは最新版のChrome(「Windows」版は「バージョン138.0.7204.96/.97」、「macOS」版は「バージョン138.0.7204.92/.93」、「Linux」版は「138.0.7204.92」)でこの脆弱性をすでに修正している。
Chromeのアップデート方法
Chromeをアップデートするには、Chromeを開いて最上部にある「︙」アイコンをクリックし、「ヘルプ」>「Google Chromeについて」を選択すると、最新アップデートのダウンロードとインストールが自動で行われる。Chromeを再起動すれば、完全に保護された状態になる。少なくとも、次の重大な脆弱性が発見されるまでは。
提供:Kyle Kucharski/ZDNET
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
