概要

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Google Chromeの重大なゼロデイ脆弱性（CVE-2025-14174）が現在積極的に悪用されていることに対し、緊急警告を発令しました。この脆弱性は、世界中の何百万ものユーザーに深刻なリスクをもたらしています。

脆弱性の詳細

セキュリティ研究者らによって発見されたこの脆弱性は、Chromiumレンダリングエンジンの重要なコンポーネントであるANGLE（Almost Native Graphics Layer Engine）における境界外メモリアクセスに起因します。この欠陥により、攻撃者は特別に細工されたHTMLページを介して悪意のあるコードを実行し、ユーザーの操作なしにシステムを侵害する可能性があります。

この脆弱性の影響はGoogle Chromeに留まらず、Microsoft Edge、Opera、Braveなど、同じレンダリングエンジンに依存する多数のChromiumベースのブラウザにも及びます。Chromiumの広範な採用により、この脆弱性は企業環境と個人ユーザーの両方にとって特に懸念されます。

CISAからの勧告と対応

CISAは、このCVE-2025-14174を「既知の悪用された脆弱性（KEV）カタログ」に追加し、連邦政府機関に対し直ちに対応を講じるよう義務付けました。連邦政府機関は、Binding Operational Directive 22-01のガイダンスに従い、2026年1月2日までに利用可能なパッチを適用するか、ベンダー指定の緩和策を実装する必要があります。

システム管理者とセキュリティチームには、以下の対応が強く推奨されます。

• すべてのChromiumベースのブラウザを最新バージョンに直ちに更新する。
• 直ちにパッチ適用が困難な環境では、ネットワークレベルでの保護を実装する。
• アプリケーション制御ポリシーを通じてブラウザの実行を制限する。
• 緩和策が展開されるまで、Chromiumベースではない代替ブラウザへの一時的な移行を検討する。
• 不審なHTMLファイルの実行を監視し、潜在的な悪用を特定するためのエンドポイント検出ルールを実装する。

パッチ情報

Googleは、この脆弱性に対処するChromeバージョン131.0.6778.264を2025年12月12日にリリース済みです。ユーザーは、速やかにブラウザを更新して保護を強化することが求められます。

元記事: https://gbhackers.com/cisa-alerts-on-google-chromium-zero-day-flaw/