innovaTopia

ーTech for Human Evolutionー

Chrome緊急修正: V8エンジンのゼロデイ脆弱性CVE-2025-5419が悪用中、今すぐアップデートを

Chrome緊急修正 V8エンジンのゼロデイ脆弱性CVE-2025-5419が悪用中、今すぐアップデートを - innovaTopia - (イノベトピア)

Last Updated on 2025-06-07 23:24 by admin

Googleは2025年6月2日(米国時間)、Chromeブラウザの深刻度の高いゼロデイ脆弱性CVE-2025-5419に対する緊急修正プログラムを含むアップデート(Windows/Mac版 137.0.7151.68/.69、Linux版 137.0.7151.68)を公開しました。

この脆弱性はChromeのV8 JavaScriptエンジンにおける境界外読み書きの問題で、リモートの攻撃者が巧妙に細工されたHTMLページを介してメモリ破損や任意のコード実行を引き起こす可能性があり、深刻度は「高」と評価されています。

Google Threat Analysis Group (TAG) のClement Lecigne氏とBenoît Sevens氏が2025年5月27日に発見し、Googleは翌28日に全Chromeプラットフォームの安定版に対し設定変更をプッシュ配信して影響を緩和しました。

CVE-2025-5419は既に悪用が確認されており、2025年に入りGoogleが修正した3件目のChromeゼロデイ脆弱性です。このアップデートでは、Blinkレンダリングエンジンの解放済みメモリ使用の脆弱性CVE-2025-5068(深刻度「中」)などを含む合計3件の脆弱性が修正されました。

From: 文献リンクGoogle quietly pushes emergency fix for Chrome 0-day as exploit runs wild

【編集部解説】

今回のGoogle Chromeのセキュリティアップデートは、既にサイバー攻撃に悪用されている「ゼロデイ脆弱性」CVE-2025-5419への緊急対応であり、極めて重要です。この脆弱性は、Chromeの心臓部であるV8 JavaScriptエンジンに潜む「境界外読み書き」という種類のもので、プログラムが確保したメモリ領域を超えてデータを読み書きできてしまう問題です。

これにより、攻撃者は巧妙に細工したウェブページをユーザーに閲覧させるだけで、機密情報を盗み出したり、マルウェアを実行させたりする可能性があります。NISTの報告によれば、ヒープ破損を引き起こす可能性も指摘されています。

Googleの脅威分析グループ(TAG)がこの脆弱性を5月27日に発見し、翌28日には一時的な緩和策として設定変更を全Chrome安定版に配信するという迅速な対応を行いました。そして6月2日(米国時間)には正式な修正パッチを含むバージョン137がリリースされました。

TAGは国家が関与するような高度なサイバー攻撃や商用スパイウェアによる悪用を監視しており、彼らが発見したという事実は、既に悪用が始まっていたか、非常に危険な状態だったことを示唆しています。

2025年に入ってからChromeで修正されたゼロデイ脆弱性は、これで3件目となります。3月にはロシア政府機関などを標的としたとみられるCVE-2025-2783、5月にもLoaderの脆弱性CVE-2025-4664が修正されており、攻撃者によるChromeの脆弱性探索が活発であることが伺えます。

Chromeユーザーは、ブラウザが最新版(Windows/Mac: 137.0.7151.68/.69、Linux: 137.0.7151.68)になっているか確認し、速やかにアップデートすることが強く推奨されます。

なお、一部報道ではAndroid版Chrome(バージョン137.0.7151.72)でも同様の脆弱性対応が行われたとされています。Microsoft EdgeなどChromiumベースの他のブラウザも影響を受ける可能性があるため、注意が必要です。

今回の事案は、ブラウザという日常的に利用するソフトウェアの安全性を維持することの難しさと重要性を改めて浮き彫りにしています。私たちユーザーも、ソフトウェアの更新を怠らず、不審なサイトへのアクセスを避けるなど、基本的なセキュリティ対策を徹底することが求められます。

【用語解説】

ゼロデイ脆弱性 (Zero-day vulnerability):
ソフトウェアのセキュリティ上の欠陥が発見されてから、開発者による修正パッチが提供されるまでの間に、その脆弱性を悪用して行われるサイバー攻撃のこと、またはその脆弱性自体を指します。修正プログラムが存在しないため、防御が非常に困難です。今回のCVE-2025-5419がこれにあたります。

境界外読み書き (Out-of-bounds read/write):
プログラムがメモリ上の割り当てられた領域(バッファ)の境界を越えてデータを読み書きしてしまう脆弱性の種類です。不正なコード実行や情報漏洩につながる可能性があります。CVE-2025-5419はこの種類に該当します。

ヒープ破損 (Heap corruption):
プログラムが動的にメモリを確保・解放する領域(ヒープ領域)において、不正な操作によりメモリ管理情報が破壊された状態です。プログラムの異常終了や、任意のコード実行に繋がる可能性があります。CVE-2025-5419はこの問題を引き起こす可能性があると指摘されています。

解放済みメモリ使用 (Use-after-free / UAF):
プログラムが一度解放したメモリ領域に再度アクセスしてしまう脆弱性の種類です。解放されたメモリ領域に悪意のあるデータが書き込まれている場合、不正なコード実行につながる可能性があります。CVE-2025-5068はこの種類に該当します。

CVE (Common Vulnerabilities and Exposures):
個々のセキュリティ脆弱性に対して一意の識別子を付与する国際的な取り組みです。脆弱性情報を共有しやすくするために利用されます。例: CVE-2025-5419、CVE-2025-5068。

CVSS (Common Vulnerability Scoring System): 脆弱性の深刻度を評価するための共通の基準です。CVE-2025-5419の深刻度は「高(High)」と評価されており、一部報道ではCVSS v3スコアが8.8とされています。

サンドボックス (Sandbox): プログラムを保護された領域で実行させるセキュリティ機構です。万が一プログラムが乗っ取られても、システムの他の部分への影響を限定的にすることを目的とします。元記事では過去の脆弱性CVE-2025-2783でサンドボックス回避が言及されています。

【参考リンク】

Google Chrome(外部)
Google開発のウェブブラウザ。速度と安全性が特徴。今回の脆弱性はこのブラウザで確認。

Google Chrome Releases (公式ブログ)(外部)
Chrome安定版アップデート情報(2025/6/2)。CVE-2025-5419等の修正を含む公式発表。

V8 JavaScript Engine(外部)
Google開発の高性能JS/WebAssemblyエンジン。CVE-2025-5419はこのV8内の脆弱性。

Blink(外部)
Chromiumプロジェクトのレンダリングエンジン。CVE-2025-5068はこのBlink内の脆弱性。

Google Threat Analysis Group (TAG)(外部)
Googleの高度サイバー攻撃分析チームの公式ブログ。CVE-2025-5419を発見・報告。

NVD – CVE-2025-5419(外部)
NISTによる脆弱性CVE-2025-5419の詳細情報。V8における境界外読み書きと記述。

【参考動画】

【参考記事】

Google Chrome、定例アップデートで危険性の高い脆弱性を修正(CVE-2025-5419)|セキュリティニュース (Rocket Boys)(外部)
Chromeデスクトップ版アップデート(137.0.7151.68/.69)発表。CVE-2025-5419など修正。

「Chrome」にゼロデイ脆弱性 – アップデート公開、事前緩和策も (Security NEXT)外部)
Chromeのゼロデイ脆弱性CVE-2025-5419を含む複数脆弱性を解消するアップデートを報告。

「Google Chrome」にゼロデイ脆弱性 ~「V8」における境界外読み取り・書き込み (窓の杜)外部)
Chrome安定版アップデート、V8エンジンの境界外読み書き脆弱性CVE-2025-5419に対応。

【編集部後記】

Google Chromeで新たに見つかったゼロデイ脆弱性。私たちの日常に欠かせないブラウザの安全を守るため、迅速なアップデートが呼びかけられています。

皆さんは、普段お使いのソフトウェアのセキュリティ更新をどの程度の頻度で確認されていますか? また、こうしたニュースを受けて、ご自身のデジタル機器の安全対策について、何か新しい気づきや、見直そうと感じる点はありましたでしょうか。未来のテクノロジーと安全な暮らしのために、皆さんのご意見やアイデアをぜひお寄せください。

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Chrome緊急修正: V8エンジンのゼロデイ脆弱性CVE-2025-5419が悪用中、今すぐアップデートを