Google、Chromeのサンドボックス回避ゼロデイ脆弱性の積極的悪用に対応

Googleは、Chromeのサンドボックス保護を回避するために攻撃者によって積極的に悪用されていた脆弱性を含む、6件の脆弱性に対応するセキュリティアップデートを公開しました。

この脆弱性はCVE-2025-6558として特定されており、深刻度8.8の高リスク評価を受けています。2024年6月23日にGoogleのThreat Analysis Group（TAG）の研究者によって発見されました。

このセキュリティ問題は、Google Chromeバージョン138.0.7204.157以前に影響するANGLEおよびGPUにおける信頼できない入力の検証不十分として説明されています。攻撃者がこれを悪用すると、特別に細工されたHTMLページを使用してサンドボックス回避を実行できる可能性があります。

ANGLE（Almost Native Graphics Layer Engine）は、ChromeがOpenGL ES APIの呼び出しをDirect3D、Metal、Vulkan、OpenGLに変換するために使用するオープンソースのグラフィックス抽象化レイヤーです。

ANGLEはWebGLを利用するウェブサイトなど信頼できないソースからのGPUコマンドを処理するため、このコンポーネントのバグは重大なセキュリティ影響を及ぼす可能性があります。

この脆弱性により、リモートの攻撃者が特別に細工したHTMLページを利用して、ブラウザのGPUプロセス内で任意のコードを実行できる可能性があります。Googleは、この問題を引き起こすことでどのようにサンドボックス回避につながるかの技術的詳細は提供していません。

「バグの詳細やリンクへのアクセスは、ユーザーの大多数が修正済みバージョンにアップデートされるまで制限される場合があります」とGoogleはセキュリティ情報で述べています。

「また、このバグが他のプロジェクトでも依存しているサードパーティライブラリに存在し、まだ修正されていない場合も、制限を維持します。」

Chromeのサンドボックスコンポーネントは、ブラウザのプロセスを基盤となるオペレーティングシステムから分離するコアセキュリティ機構であり、マルウェアがウェブブラウザの外に広がってデバイスを侵害するのを防ぎます。

CVE-2025-6558の高リスクおよび積極的な悪用状況を踏まえ、Chromeユーザーは、使用しているオペレーティングシステムに応じて、できるだけ早くバージョン138.0.7204.157または.158にアップデートすることが推奨されます。

chrome://settings/helpにアクセスし、アップデートの確認が完了するのを待つことでアップデートできます。ウェブブラウザを再起動すると、更新が適用されます。

今回のChromeセキュリティアップデートには、V8エンジンの高リスク脆弱性CVE-2025-7656や、WebRTCのUse-After-Free問題CVE-2025-7657など、さらに5件の脆弱性修正が含まれています。これら5件については、積極的に悪用されているとは報告されていません。

CVE-2025-6558は、今年に入ってからChromeブラウザで発見・修正された5件目の積極的に悪用された脆弱性です。

3月には、Kasperskyの研究者によって発見された高リスクのサンドボックス回避脆弱性CVE-2025-2783がGoogleによって修正されました。この脆弱性は、ロシア政府機関やメディア組織を標的としたスパイ活動攻撃でマルウェア配布に悪用されていました。

2か月後の5月、GoogleはCVE-2025-4664という、攻撃者がユーザーアカウントを乗っ取ることができるChromeのゼロデイ脆弱性を修正するアップデートを公開しました。

6月には、Google TAGのBenoît Sevens氏とClément Lecigne氏によって報告された、ChromeのV8 JavaScriptエンジンにおける範囲外読み書き脆弱性CVE-2025-5419にも対応しました。

今月初めには、GTAGの研究者によって発見されたV8エンジンの4件目のゼロデイ脆弱性CVE-2025-6554がGoogleによって修正されました。