Google、Chromeのゼロデイ脆弱性CVE-2025-6554に対するセキュリティアップデートを公開

nosa

2025.07.02

7月2日：サイバーセキュリティ関連ニュース

Google、Chromeのゼロデイ脆弱性CVE-2025-6554に対するセキュリティアップデートを公開

The Hacker News – Jul 1, 2025

GoogleがChromeブラウザの脆弱性に対処するため、セキュリティアップデートをリリースした。

CVE-2025-6554（深刻度：高）として追跡されているこのゼロデイ脆弱性は、V8／WebAssemblyエンジンのV8における型の取り違えの欠陥とされるもの。米NISTのNational Vulnerability Database（NVD）には「138.0.7204.96より前のバージョンのGoogle ChromeにおけるV8の型の取り違えにより、リモートの攻撃者は細工したHTMLページを介して任意の読み取り／書き込みを実行できるようになる」と説明されている。

この種の脆弱性が悪用されると予期せぬソフトウェア動作を引き起こし、任意のコード実行やプログラムのクラッシュにつながる恐れがあるとされ、深刻な結果をもたらす危険性が指摘されている。Googleの脅威分析グループ（TAG）は、2025年6月25日にこの脆弱性を発見して報告。翌26日には全プラットフォームの安定版（Stable）チャンネルに対して設定変更がプッシュ配信され、この欠陥の影響が緩和されたという。

また、Googleはこの脆弱性や攻撃者に関する詳細情報を公開していないものの、「CVE-2025-6554を悪用したエクスプロイトが実際に存在する」ことを認めた。同社が今年に入って対処したChromeのゼロデイ脆弱性は、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419に続いて4件目となる。

デイリーサイバーアラート

APT

Silobreaker-CyberAlert

ゼロデイ

Chromeの新たなゼロデイ、国家の支援受けたスパイキャンペーンで悪用される：CVE-2025-2783

佐々山 Tacos

2025.03.26

APT

Silobreaker-CyberAlert

ゼロデイ

Linuxコマンド「sudo」におけるローカル権限昇格の脆弱性が修正される（CVE-2025-32462、CVE-2025-32463）

Help Net Security – July 1, 2025

Linuxのユーティリティコマンド「sudo」に存在するローカル権限昇格の脆弱性2件（CVE-2025-32462、CVE-2025-32463）が6月30日に公開された。早急なアップデートによるパッチ適用が推奨されている。

sudoはUnix系オペレーティングシステムのコマンドラインユーティリティで、権限の低いユーザーが別のユーザー（通常はroot／管理者ユーザー）としてコマンドを実行できるようになるもの。CVE-2025-32462とCVE-2025-32463は、Stratascale Cyber Research Unitの Rich Mirch氏によって報告された。

CVE-2025-32462はsudoのホストオプションにある重大度が低い権限昇格（EOP）の脆弱性で、12年以上前からsudoのコードに存在し、安定版（v1.9.0～1.9.17）およびレガシー版（v1.8.8～1.8.32）に影響するという。一方、CVE-2025-32463はsudoのchrootオプションに存在する重大な脆弱性で、ローカルユーザーが悪用すると基盤システムのroot権限を取得される恐れがある。こちらはバージョン1.9.14〜1.9.17 に影響を与えるようだ。

どちらのバグも6月初旬にリリースされたバージョン1.9.17p1では修正されている。sudoは多数の人気Linuxディストリビューションにデフォルトでインストールされているため、ユーザーには使用中のディストリビューションで最新のsudoパッケージが提供されているかどうかを確かめることが求められる。