Google、Chromeのゼロデイ脆弱性CVE-2025-6554に対するセキュリティアップデートを公開

7月2日：サイバーセキュリティ関連ニュース

Google、Chromeのゼロデイ脆弱性CVE-2025-6554に対するセキュリティアップデートを公開

The Hacker News – Jul 1, 2025

GoogleがChromeブラウザの脆弱性に対処するため、セキュリティアップデートをリリースした。

CVE-2025-6554（深刻度：高）として追跡されているこのゼロデイ脆弱性は、V8／WebAssemblyエンジンのV8における型の取り違えの欠陥とされるもの。米NISTのNational Vulnerability Database（NVD）には「138.0.7204.96より前のバージョンのGoogle ChromeにおけるV8の型の取り違えにより、リモートの攻撃者は細工したHTMLページを介して任意の読み取り／書き込みを実行できるようになる」と説明されている。

この種の脆弱性が悪用されると予期せぬソフトウェア動作を引き起こし、任意のコード実行やプログラムのクラッシュにつながる恐れがあるとされ、深刻な結果をもたらす危険性が指摘されている。Googleの脅威分析グループ（TAG）は、2025年6月25日にこの脆弱性を発見して報告。翌26日には全プラットフォームの安定版（Stable）チャンネルに対して設定変更がプッシュ配信され、この欠陥の影響が緩和されたという。

また、Googleはこの脆弱性や攻撃者に関する詳細情報を公開していないものの、「CVE-2025-6554を悪用したエクスプロイトが実際に存在する」ことを認めた。同社が今年に入って対処したChromeのゼロデイ脆弱性は、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419に続いて4件目となる。

Linuxコマンド「sudo」におけるローカル権限昇格の脆弱性が修正される（CVE-2025-32462、CVE-2025-32463）

Help Net Security – July 1, 2025

Linuxのユーティリティコマンド「sudo」に存在するローカル権限昇格の脆弱性2件（CVE-2025-32462、CVE-2025-32463）が6月30日に公開された。早急なアップデートによるパッチ適用が推奨されている。

sudoはUnix系オペレーティングシステムのコマンドラインユーティリティで、権限の低いユーザーが別のユーザー（通常はroot／管理者ユーザー）としてコマンドを実行できるようになるもの。CVE-2025-32462とCVE-2025-32463は、Stratascale Cyber​​ Research Unitの Rich Mirch氏によって報告された。

CVE-2025-32462はsudoのホストオプションにある重大度が低い権限昇格（EOP）の脆弱性で、12年以上前からsudoのコードに存在し、安定版（v1.9.0～1.9.17）およびレガシー版（v1.8.8～1.8.32）に影響するという。一方、CVE-2025-32463はsudoのchrootオプションに存在する重大な脆弱性で、ローカルユーザーが悪用すると基盤システムのroot権限を取得される恐れがある。こちらはバージョン1.9.14〜1.9.17 に影響を与えるようだ。

どちらのバグも6月初旬にリリースされたバージョン1.9.17p1では修正されている。sudoは多数の人気Linuxディストリビューションにデフォルトでインストールされているため、ユーザーには使用中のディストリビューションで最新のsudoパッケージが提供されているかどうかを確かめることが求められる。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

ダークウェブレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』