Google Chromeに高リスク脆弱性　すでに悪用も確認

Googleは6月2日、デスクトップ版およびAndroid版のChromeブラウザに関する定例アップデートを公開し、深刻度「高」を含む複数の脆弱性を修正した。中でもV8エンジンに関する脆弱性「CVE-2025-5419」は、すでに実際のサイバー攻撃で悪用されていることが確認されており、ユーザーには早急な対策が求められる。

脆弱性の詳細：V8やBlinkに重大な欠陥

Googleが今回公表した主な脆弱性は以下のとおり。

高リスクの脆弱性（深刻度：High）

• CVE-2025-5419：V8（JavaScriptエンジン）における境界外読み取りおよび書き込みの脆弱性。悪意あるWebサイトを閲覧することで、リモートの攻撃者によるヒープ破壊や任意コードの実行が可能になる恐れがある。Google Threat Analysis GroupのClement Lecigne氏とBenoît Sevens氏が報告。
• CVE-2025-5063：合成処理における解放後使用（Use After Free）の脆弱性。Android版で確認。

中リスクの脆弱性（深刻度：Medium）

その他にもFileSystemAccess APIやメッセージ処理、libvpxライブラリなどに起因する複数の不適切な実装が指摘されている。

CVE-2025-5068：BlinkレンダリングエンジンにおけるUse After Freeの脆弱性。Walkman氏が報告し、報奨金1,000ドルを受け取っている。

対応済みバージョンとアップデート方法

今回の修正が適用されたバージョンは以下の通り。

• デスクトップ版：
  • Windows / macOS：137.0.7151.68 / .69
  • Linux：137.0.7151.68
• Android版：
  • 137.0.7151.72

アップデートは数日から数週間かけて自動で配信されるが、デスクトップ版では手動での更新も可能。Chromeの「設定」から「Chromeについて」に進むことで最新版への更新が行える。

ユーザーへの呼びかけ：即時のアップデートを推奨

GoogleはCVE-2025-5419について「エクスプロイト（悪用）が既に存在することを確認している」と明言しており、放置した場合、ユーザーの個人情報やデバイスに深刻な被害が及ぶ可能性がある。

セキュリティ専門家は、今回のように「既に攻撃に利用されている脆弱性（ゼロデイ）」が公表された場合、数時間〜数日のうちに被害が急増するリスクがあると指摘している。

Chromeのセキュリティ対策と研究者との連携

Googleは脆弱性対策として、以下のような多角的なアプローチを行っている。

• 脆弱性の事前通知制度：Chromiumを使用する他社製品にも、脆弱性の情報を事前に共有。
• 自動解析ツールの活用：AddressSanitizer、MemorySanitizer、libFuzzer などを使用して開発段階から脆弱性を検出。
• 外部研究者への報奨金制度（VRP）：報告者に対し報奨金を支給することで、外部からの協力も得てセキュリティを強化。
• 透明性の確保：バグトラッカーや開発フォーラムを通じて研究者と積極的に連携。

まとめ：最新版への更新が最善の防御策

Google Chromeを使用しているすべてのユーザーに対し、Googleは最新版へのアップデートを早急に行うよう強く推奨している。特に、CVE-2025-5419のような実害が出ている脆弱性については、更新を怠ることが被害拡大につながりかねない。

Chromeを常に最新の状態に保つことが、サイバー攻撃から身を守る最も有効な手段である。

参照：Stable Channel Update for Desktop（Google）