Apple、Chromeのゼロデイ攻撃で悪用されたセキュリティ脆弱性にパッチを適用

Appleは、Google Chromeユーザーを標的としたゼロデイ攻撃で悪用された重大なセキュリティ脆弱性に対処するためのセキュリティアップデートを公開しました。

CVE-2025-6558として追跡されているこのセキュリティバグは、ANGLE（Almost Native Graphics Layer Engine）というオープンソースのグラフィックス抽象化レイヤーにおいて、信頼できない入力の検証が不適切であることが原因です。ANGLEはGPUコマンドを処理し、OpenGL ES APIの呼び出しをDirect3D、Metal、Vulkan、OpenGLに変換します。

この脆弱性により、リモートの攻撃者が特別に細工されたHTMLページを介してブラウザのGPUプロセス内で任意のコードを実行できる可能性があり、ブラウザプロセスを基盤となるオペレーティングシステムから隔離するサンドボックスを回避できる恐れがあります。

GoogleのThreat Analysis Group（TAG）のVlad Stolyarov氏とClément Lecigne氏は、国家支援の攻撃からGoogleの顧客を守ることを専門とするセキュリティ専門家チームであり、6月にCVE-2025-6558を発見しGoogle Chromeチームに報告しました。Chromeチームは7月15日にパッチを適用し、攻撃で積極的に悪用されているとタグ付けしました。

Googleはこれらの攻撃に関するさらなる情報をまだ提供していませんが、Google TAGはしばしば、反体制派、野党政治家、ジャーナリストなどのハイリスク個人のデバイスにスパイウェアを展開することを目的とした、政府支援の脅威アクターによる標的型キャンペーンで悪用されるゼロデイ脆弱性を発見しています。

Appleは火曜日、以下のソフトウェアおよびデバイス向けにCVE-2025-6558脆弱性に対処するWebKitのセキュリティアップデートを公開しました：

• iOS 18.6およびiPadOS 18.6：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代以降）、iPad Pro 11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第7世代以降）、iPad mini（第5世代以降）
• macOS Sequoia 15.6：macOS Sequoiaを搭載したMac
• iPadOS 17.7.9：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）
• tvOS 18.6：Apple TV HDおよびApple TV 4K（全モデル）
• visionOS 2.6：Apple Vision Pro
• watchOS 11.6：Apple Watch Series 6以降

「悪意のあるWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性があります」とAppleはCVE-2025-6558の影響について説明しています。「これはオープンソースコードの脆弱性であり、Appleのソフトウェアも影響を受けるプロジェクトの一つです。」

7月22日、米国のサイバー防衛機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も、このセキュリティバグを攻撃で悪用されていることが知られている脆弱性のカタログに追加し、連邦機関に対して8月12日までにソフトウェアのパッチ適用を義務付けました。

連邦機関にシステムのセキュリティ対策を義務付けるBinding Operational Directive（BOD）22-01は連邦機関のみに適用されますが、CISAはすべてのネットワーク防御担当者に対し、CVE-2025-6558の脆弱性をできるだけ早く修正することを推奨しています。

「この種の脆弱性は悪意あるサイバー攻撃者による頻繁な攻撃経路となっており、連邦組織に重大なリスクをもたらします」と同庁は先週警告しました。

Appleはまた、今年に入ってから標的型攻撃で悪用された5件のゼロデイ脆弱性にもパッチを適用しています。1月のゼロデイ（CVE-2025-24085）、2月のゼロデイ（CVE-2025-24200）、3月のゼロデイ（CVE-2025-24201）、および4月の2件のゼロデイ（CVE-2025-31200とCVE-2025-31201）が含まれます。