マルコム・オーウェン
· 2分で読めます
グーグルクローム
Appleは、Google Chromeユーザーに対して積極的に悪用されていたゼロデイ脆弱性に対してWebKitを修正するiOSおよびその他のオペレーティングシステム向けのセキュリティアップデートをリリースしました。
企業は自社のセキュリティシステムの脆弱性を修正するためにセキュリティアップデートをリリースすることがよくありますが、時には他の脆弱性に対応するためにリリースされることもあります。火曜日、Appleはまさにそのように、Google Chromeユーザーに対する攻撃に対処するためにアップデートをリリースしました。
CVE-2025-6558として知られるこの問題は、GPUコマンドを処理するオープンソースのグラフィックス抽象化レイヤーであるAlmost Native Graphics Layer Engine(ANGLE)における検証不足に関係しています。BleepingComputerによると、ANGLEはOpenGL ES API呼び出しをDirect3D、OpenGL、Vulkan、Metalに変換できます。
攻撃者は、単純なウェブページを利用することで、この脆弱性を悪用し、ChromeのGPUプロセス内で独自のコードをリモートで実行することが可能となります。これは、攻撃者がブラウザのサンドボックスを回避し、ブラウザを実行しているオペレーティングシステムを攻撃する可能性のある有効な手段であると考えられています。
重要なのは、この手法が Chrome ユーザーに対する攻撃に積極的に悪用されているようだということです。
この脆弱性は、Googleの脅威分析グループのVlad Stolyarov氏とClement Lecigne氏によって発見されました。6月に発見され、Chromeチームに報告され、7月15日に修正されました。
Appleのパッチ
Chromeのパッチで問題は解決するはずですが、Appleは依然として、同じツールを使用している可能性のある自社ソフトウェアを保護することに強い関心を持っています。火曜日、Appleはまさにその目的のため、WebKitのセキュリティアップデートをリリースしました。
セキュリティアップデートは、iOS 18.6 および iPadOS 18.6、macOS Sequoia 15.6、iPadOS 17.7.9、tvOS 18.6、watchOS 11.6、visionOS 2.6 の一部として適用されます。
Appleはパッチに関する説明の中で、「悪意を持って作成されたウェブコンテンツは、Safariの予期せぬクラッシュを引き起こす可能性がある」と述べています。さらに、「これはオープンソースコードの脆弱性であり、Apple Softwareも影響を受けるプロジェクトの一つである」と述べています。
安全を保つ方法
このエクスプロイトは悪意のある攻撃者によって積極的に使用されているようですが、エンドユーザーが自分自身を保護するために実行できる方法がいくつかあります。
まず、セキュリティコンテンツを最新の状態に保つために、オペレーティングシステムを最新リリースにアップデートすることをお勧めします。これは、それらのオペレーティングシステムで実行されるソフトウェアにも適用され、今回の場合はChrome自体のアップデートも含まれます。
ユーザーは、信頼できる情報源からのリンクを信頼するなど、適切なデジタル衛生を実践することが最善です。また、そもそもこのような攻撃を可能にするように作られている可能性のあるウェブサイトへのアクセスを避けることも推奨されます。
