GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。
Googleは同社のWebブラウザ「Chrome」に深刻な脆弱(ぜいじゃく)性「CVE-2025-6554」が見つかったことを受け、2025年6月、緊急アップデートを配信した。CVE-2025-6554はChromeの中核を成す「JavaScript」エンジン「V8」に起因するものだ。「型混乱」と呼ばれるこの脆弱性は、どのような危険をもたらすのか。
CVE-2025-6554は、エンドユーザーがChromeを通じて、攻撃者が制御するWebサイトにアクセスするだけで、不正なプログラムの実行を許してしまう恐れがある。Googleのセキュリティ研究部隊Threat Analysis Group(TAG)のクレマン・ルセーニュ氏が2025年6月25日(米国時間、以下同じ)に発見した。
米国立標準技術研究所(NIST)の「NVD」(国家脆弱性データベース)は、CVE-2025-6554の深刻度を「高」と評価する。CVE-2025-6554が悪用されれば、マルウェア感染によるシステムへの不正アクセス、機密情報の窃取といった被害が想定される。GoogleはCVE-2025-6554が実際の攻撃で悪用されていることを確認したと説明する。
Googleは2025年6月26日に暫定的な修正として設定の変更を反映させ、同月30日にCVE-2025-6554のパッチ(修正プログラム)を含めたアップデートを配信した。エンドユーザーは、Chromeのヘルプメニューで「About Google Chrome」をクリックすれば、アップデートが適用されているかどうかを確認できる。
今回の脆弱性は型混乱(Type Confusion)と呼ばれる。型混乱は、プログラムがデータの型を誤認し、本来とは異なるデータとして処理することで発生する。誤認によって、データ破損やメモリへの不正アクセスなどの問題が生じる。例えば、プログラムが本来「数値」として扱うべきデータを「ポインタ」として処理すると、不正なメモリ領域へのアクセスにつながり得る。深刻な場合、攻撃者による任意コード実行(標的システムで任意のプログラムや命令を実行すること)も可能にする。
型混乱は、ChromeやV8の開発で用いられる「C++」など、メモリ管理の安全性が開発者に委ねられているプログラミング言語で発生しやすい。ただし、「PHP」や「Perl」などメモリ管理を自動で実行するプログラミング言語でも確認されている。型混乱は、Chromeや「Mozilla Firefox」「Safari」などWebブラウザの他、PDFリーダーやJavaScriptエンジン、OSのコンポーネント(部品や機能)でも発生し得る。
開発者は以下の方法で型混乱の脆弱性の発生リスクを軽減させることが可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
