2025年7月16日Ravie Lakshmananブラウザーセキュリティ / ゼロデイ
Googleは火曜日、Chromeウェブブラウザの6件のセキュリティ問題に対する修正を公開しました。その中には、実際に悪用されているとされるものも含まれています。
問題となっている高深刻度の脆弱性はCVE-2025-6558(CVSSスコア: 8.8)で、これはブラウザのANGLEおよびGPUコンポーネントにおける信頼できない入力の不適切な検証と説明されています。
「Google Chrome 138.0.7204.157より前のバージョンのANGLEおよびGPUにおける信頼できない入力の不十分な検証により、リモートの攻撃者が細工されたHTMLページを通じてサンドボックスの回避を行う可能性がありました」と、NISTのNational Vulnerability Database(NVD)による説明に記載されています。
ANGLE(「Almost Native Graphics Layer Engine」の略)は、Chromeのレンダリングエンジンとデバイス固有のグラフィックドライバーの間の変換レイヤーとして機能します。このモジュールの脆弱性により、攻撃者は通常ブラウザが分離している低レベルのGPU操作を悪用してChromeのサンドボックスを回避できるため、まれではありますが強力なシステムアクセス経路となります。
ほとんどのユーザーにとって、このようなサンドボックス回避は、悪意のあるサイトを訪問するだけでブラウザのセキュリティバブルを破り、基盤となるシステムとやり取りできる可能性があることを意味します。特に、ウェブページを開くだけでダウンロードやクリックを必要とせずに静かに侵害が発生する標的型攻撃では非常に重大です。
GoogleのThreat Analysis Group(TAG)のClément Lecigne氏とVlad Stolyarov氏が、このゼロデイ脆弱性を2025年6月23日に発見・報告したことでクレジットされています。
この脆弱性を武器化した攻撃の詳細は公表されていませんが、Googleは「CVE-2025-6558のエクスプロイトが実際に存在する」ことを認めています。TAGによる発見は、国家レベルの関与の可能性を示唆しています。
この動きは、Googleが別の実際に悪用されたChromeゼロデイ(CVE-2025-6554、CVSSスコア: 8.1)に対応した約2週間後に行われました。この脆弱性もLecigne氏によって2025年6月25日に報告されています。
Googleは今年に入ってから、実際に悪用された、または概念実証(PoC)として実証されたChromeのゼロデイ脆弱性を合計5件解決しています。これには、CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、およびCVE-2025-6554が含まれます。
潜在的な脅威から身を守るために、WindowsおよびApple macOSではバージョン138.0.7204.157/.158、Linuxでは138.0.7204.157へのChromeブラウザのアップデートが推奨されています。最新のアップデートがインストールされているか確認するには、ユーザーは「その他」>「ヘルプ」>「Google Chromeについて」に移動し、「再起動」を選択してください。
Microsoft Edge、Brave、Opera、Vivaldiなど、他のChromiumベースのブラウザのユーザーも、修正が利用可能になり次第適用することが推奨されています。
このような問題は、GPUサンドボックス回避、シェーダー関連のバグ、WebGLの脆弱性など、より広いカテゴリに分類されることが多いです。必ずしも大きな話題になるわけではありませんが、連鎖的なエクスプロイトや標的型攻撃で再び表面化する傾向があります。Chromeのセキュリティアップデートを追っている場合は、グラフィックドライバーの欠陥、権限境界のバイパス、レンダリング経路でのメモリ破損などに注目しておくと、次の修正対象となるバグを見つけやすくなります。
翻訳元: https://thehackernews.com/2025/07/urgent-google-releases-critical-chrome.html