1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. CISAが「既知の悪用脆弱性」カタログに、Google Chromeの脆弱性を追加(CVE‑2025‑6554)

CISAが「既知の悪用脆弱性」カタログに、Google Chromeの脆弱性を追加(CVE‑2025‑6554)

セキュリティニュース

投稿日時: 更新日時:

CISAが「既知の悪用脆弱性」カタログに、Google Chromeの脆弱性を追加(CVE‑2025‑6554)

米国CISA(Cybersecurity and Infrastructure Security Agency)は、既知の悪用脆弱性(Known Exploited Vulnerabilities, KEV)カタログに、新たにChromeのゼロデイ脆弱性「CVE‑2025‑6554」を追加しました。これは、証拠に基づき実際に攻撃で悪用されていると判断されたためです。

パッチはリリース済みなので最新の状態へアップデートする事をお勧めします

脆弱性の概要

Googleは2025年7月2日、Chrome安定版を更新し、CVE‑2025‑6554を修正済みバージョンとして配布開始しました。

  • 対象バージョン
     Windows:v138.0.7204.96 / .97
     Mac:v138.0.7204.92 / .93
     Linux:v138.0.7204.96

この脆弱性は、V8(Chromiumエンジン)の型混乱に起因し、遠隔で任意の読み書き操作やリモートコード実行を引き起こす可能性があります。Google TAG(Threat Analysis Group)のClément Lecigne氏が発見し、「実利用あり」の報告がされています。

実際、過去のV8脆弱性(2024年8月)では、北朝鮮系の攻撃者による暗号資産関連組織を狙った実績があったことから、国家支援型の極めて選択的な攻撃が想定されます

KEVカタログへの追加理由

  • 現在も実際に悪用されており、CISAは対連邦機関に対して「期限内の修正・緩和対応義務」を課しています。

  • CISAは、連邦政府機関以外にもすべての組織に対して優先的な緩和を推奨しています。

 

関連記事

Google、Chromeのゼロデイ脆弱性「CVE-2025-6554」を緊急修正–ただちにアップデートをGoogle、Chromeのゼロデイ 脆弱性「CVE-2025-6554」を緊急修正–ただちにアップデートを ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623) Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩 Chromeの重大な脆弱性「CVE-2025-4664」、CISAが“既知の悪用対象脆弱性”に指定- 全ユーザーに早急なパッチ適用を推奨Chromeの重大な脆弱性「CVE-2025-4664」、CISAが“既知の悪用対象脆弱性”に指定- 全ユーザーに早急なパッチ適用を推奨 Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信 Google Play でマルウェアが混入されたアプリが550万回ダウンロードされるGoogle Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999)SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999) Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中 SonicWall SMAに深刻な脆弱性、管理者セッションの乗っ取りやリモートコード実行のリスクもSonicWall SMAに深刻な脆弱性、管理者セッションの乗っ取りやリモートコード実行のリスクも