Google Chromeユーザーを標的としたゼロデイ脆弱性に対するパッチがAppleによって公開されました。最新のアップデートは、様々なデバイスとオペレーティングシステムを対象としています。
Appleは最近、Google Chromeユーザーを標的としたゼロデイ脆弱性を修正する一連のシステムアップデートをリリースしました。CVE-2025-6558として追跡されているこの脆弱性は、Googleの脅威分析グループ(TAG)によって6月に発見され、同グループによると、この脆弱性は実際に悪用されているとのことです。
どの Apple オペレーティング システムがパッチ適用されましたか?
Google Chrome はさまざまな Apple デバイスで利用できるため、次のオペレーティング システム用のパッチがリリースされています。
- macOS セコイア 15.6
- iOS 18.6
- iPadOS 18.6
- tvOS 18.6
- iPadOS 17.7.9
- ビジョンOS 2.6
- ウォッチOS 11.6
一部のオペレーティングシステムは複数のデバイスで使用されます。例えば、iPadOS 18.6はiPad Pro 11インチと13インチの全世代に搭載されていますが、iPad Pro 12.9インチでは第3世代以降でのみ使用されます。また、iPad Airでは第3世代以降、iPad Miniでは第5世代以降、iPadでは第7世代以降で使用されます。
AppleのSafariにも同様の脆弱性が存在しますが、これはウェブブラウザをクラッシュさせるだけであることが分かっています。Appleによると、この脆弱性を利用した攻撃はSafariユーザーへの攻撃には利用されていないとのことです。
ハッカーがChromeの脆弱性をどのように利用したか
CVE-2025-6558 のバグは、Chrome のレンダリング パイプラインで使用される ANGLE(Almost Native Graphics Layer Engine)内の検証を悪用します。この脆弱性が悪用されると、ハッカーはブラウザの GPU プロセス内でコードを実行する悪意のあるウェブページを作成し、ウェブブラウザのプロセスと OS のプロセスを分離するための内部安全策を回避できるようになります。これにより、攻撃者はデバイスへの昇格アクセスを取得できる可能性があります。
ニューヨーク州情報技術サービス局が7月22日に公開したブログ記事には、次のような記述があります。「Google Chromeに複数の脆弱性が発見されました。最も深刻な脆弱性は、任意のコード実行を許す可能性があります。ユーザーに関連付けられた権限によっては、攻撃者がプログラムをインストールしたり、データを閲覧、変更、削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりする可能性があります。」
この攻撃の背後にいるのは誰ですか?
Google の TAG はまだ CVE-2025-6558 を特定の攻撃者または脅威グループに帰属させていませんが、同チームは国家が支援するハッカーに関連する脅威について頻繁に報告しています。
7 月 15 日、Google は Windows および macOS 向けのパッチ バージョン 138.0.7204.157/.158、Linux 向けの 138.0.7204.157 を対象とした Chrome 独自のパッチをリリースしました。
AppleとGoogleのユーザーを最新の脅威から保護する
この最新の脆弱性は、Appleが2025年にパッチを当てた6件目のゼロデイ脆弱性となり、今年中にさらに脆弱性が発見される可能性があります。Appleは、最新のアップデートが公開され次第、速やかにダウンロードしてインストールすることを推奨しています。
英国は、モバイルプラットフォームの運営方法と、その管理体制について大胆な先例を打ち立てています。競争・市場庁による大手IT企業に対する最新の動きについて、当社の報道をご覧ください。
JRジョニヴァン
JR Johnivan 氏は 17 年のキャリアを持つベテランで、IT、コンピュータ ネットワーク、セキュリティ、クラウド コンピューティング、人材配置、人事、不動産、スポーツ、エンターテイメントなど、イノベーションとテクノロジーに関する執筆活動に力を入れています。
