Google Chromeにリモートコード実行が可能な深刻な脆弱性 迅速なアップデートを：セキュリティニュースアラート

Chromeに深刻な脆弱性が見つかった。これを悪用するとリモートの攻撃者によって任意のコードを実行されるリスクがある。影響を受けるバージョンを利用している場合、迅速にアップデートを適用することが推奨される。

[後藤大地，有限会社オングス]

　セキュリティニュースメディアの「Securityonline」は2025年1月7日（現地時間、以下同）、「Google Chrome」（以下、Chrome）に深刻な脆弱（ぜいじゃく）性が存在することが報じられた。この脆弱性が悪用された場合、攻撃者に遠隔で任意のコードが実行される可能性がある。

CVSSスコア8.3の脆弱性「CVE-2025-0291」、セキュリティ研究者が発見

　指摘されている脆弱性の脆弱性情報データベース（CVE）は以下の通りだ。

• CVE-2025-0291：　リモートコード実行（RCE）の脆弱性。ChromeのV8における型の混乱により、リモートの攻撃者が細工したHTMLページを介してサンドボックス内で任意のコードを実行する可能性がある。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は共通脆弱性評価システム（CVSS）v3.1のスコア値を8.3とし、深刻度を「重要」（High）と評価している

　CVE-2025-0291は、セキュリティ研究家のPopax21氏によって発見され、2024年12月11日にGoogleに報告された。これらの脆弱性はプログラムがデータを本来の型とは異なる型として扱う際に発生する。このような誤りはV8エンジンにおいて境界外メモリアクセスを引き起こし、攻撃者がWebブラウザをクラッシュさせたり、メモリを操作したり、任意のコードを実行したりする足掛かりとなる。こうした高度な攻撃が実際に行われる可能性があるため、迅速な対応が求められる。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Chrome 131.0.6778.264より前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• Chrome 131.0.6778.264およびこれ以降のバージョン

　脆弱性を抱えるWebブラウザの継続的な利用はサイバーセキュリティ上の重大なリスクとなる。影響を受けるバージョンを使用している場合には速やかにアップデートを適用することが望まれる。