Googleは火曜日、6件の脆弱性を解決する新たなChromeのセキュリティアップデートを発表しました。その中には実際に悪用されているものも含まれています。
ゼロデイバグ(CVE-2025-6558として追跡)は、ブラウザのANGLEおよびGPUコンポーネントにおける信頼されていない入力の不正な検証として説明されています。
ANGLE(Almost Native Graphics Layer Engineの略)は、オープンソースでクロスプラットフォーム対応のグラフィックスエンジンであり、Windows版のChromeとFirefoxの両方でデフォルトのWebGLバックエンドとして使用されています。Chromeは主に、ウェブページ上のグラフィックスや動画コンテンツを描画するためにGPUコンポーネントを利用しています。
NISTのアドバイザリによると、この脆弱性が悪用されると、リモート攻撃者が細工されたHTMLページを介してブラウザのサンドボックスを突破できる可能性があります。
「Googleは、CVE-2025-6558のエクスプロイトが実際に存在することを認識しています」とGoogleはアドバイザリで述べています。
これは、今年これまでにGoogleがChromeブラウザで修正した5件目のゼロデイ脆弱性です。
例年通り、インターネット大手は観測された攻撃の詳細を共有しませんでしたが、このセキュリティ欠陥はGoogleのThreat Analysis Group(TAG)のClément Lecigne氏とVlad Stolyarov氏によって報告されたと述べています。
TAGの研究者は、Chromeブラウザを含む商用スパイウェアベンダーによって悪用されている脆弱性を発見することで知られており、今回新たに公開されたCVEについても同様のケースである可能性があります。
広告。スクロールして記事の続きをお読みください。
今回のChromeアップデートでは、外部研究者によって報告された他の2つのバグ、すなわちV8 JavaScriptエンジンにおける整数オーバーフローの問題(CVE-2025-7656)と、WebRTCにおける解放後使用の脆弱性(CVE-2025-7657)にも対応しています。
GoogleはV8の欠陥に対して7,000ドルの報奨金を支払ったとしていますが、WebRTCの問題に対する報奨金額はまだ公表されていません。同社の規定により、社内で発見されたゼロデイについてはバグ報奨金は支払われません。
最新のChromeバージョンは、WindowsおよびmacOS向けには138.0.7204.157/.158、Linux向けには138.0.7204.157として順次配信されています。ユーザーはできるだけ早くブラウザをアップデートすることが推奨されています。
関連記事: Chrome 138アップデートでゼロデイ脆弱性を修正
関連記事: Chrome 138、Firefox 140が複数の脆弱性を修正
翻訳元: https://www.securityweek.com/chrome-update-patches-fifth-zero-day-of-2025/