Google Chromeの緊急パッチで重大度の高いバグが修正される

GoogleはChromeウェブブラウザの重大なセキュリティアップデートをリリースし、6件の脆弱性を修正しました。中でも最も懸念されるのは、ChromeのANGLEおよびGPUコンポーネントに発見された重大度の高いバグ（CVSSスコア：8.8）であるCVE-2025-6558で、現在も活発に悪用されています。

この Chrome のバグはどのように機能するのでしょうか?

National Vulnerability Database（NVD）によると、このバグはANGLEおよびGPUモジュールにおける信頼できない入力の検証が不十分であることに起因しています。ANGLE（Almost Native Graphics Layer Engine）は、Chromeの重要なレイヤーであり、Direct3D、Vulkan、Metal、OpenGLなど、さまざまなシステムで動作するようにグラフィックコマンドを変換します。

攻撃者は悪意のある HTML ページを作成することで、この脆弱性を悪用して Chrome のサンドボックスを回避できます。サンドボックスは、悪意のあるコードをブラウザ内に閉じ込め、コンピュータの他の部分から隔離するように設計された保護バリアです。

このゼロデイ脆弱性は、標的型サイバー攻撃の追跡で知られるGoogleの脅威分析グループ（TAG）のクレメント・ルシーニュ氏とヴラド・ストリアロフ氏によって2025年6月23日に発見されました。Googleは公式リリースで、「CVE-2025-6558を標的としたエクスプロイトが実環境に存在することを認識している」と発表しました。

Chromeのアップデート方法

CVE-2025-6558の脆弱性の深刻度と、その悪用が確認されていることから、ユーザーはChromeを直ちにアップデートすることを強くお勧めします。パッチ適用後のバージョンは、WindowsおよびmacOSでは138.0.7204.157/.158、Linuxでは138.0.7204.157です。

次の手順に従ってください。

1. Chromeを開きます。
2. 3 つのドットのメニュー (⋮) | ヘルプ | Google Chrome についてをクリックします。
3. 更新が利用可能な場合は、「再起動」をクリックして適用します。

Microsoft Edge、Brave、Opera、Vivaldi などの他の Chromium ベースのブラウザも影響を受ける可能性があります。ユーザーはこれらのベンダーからの更新に注意する必要があります。

今年最初のChromeゼロデイではない

これは、2025年に発見され悪用されたChromeの5番目のゼロデイ脆弱性です。今年初め、Googleは次の問題にパッチを当てました。

• CVE-2025-2783、スパイ活動で使用されるサンドボックスエスケープ。
• CVE-2025-4664、アカウントハイジャックに使用されます。
• CVE-2025-5419、V8 のメモリ破損バグ。
• CVE-2025-6554、別の V8 関連の欠陥。

これらの欠陥の急速な出現は、ブラウザベースの攻撃、特に低レベルのレンダリング システムを悪用する攻撃がより頻繁に行われ、巧妙化していることを浮き彫りにしています。

他の5つの高リスクChromeバグも修正されました

Googleは今回のChromeアップデートで、CVE-2025-6558に加え、さらに5つの脆弱性にも対処しました。これらのバグは以下のとおりです。

• CVE-2025-7656 は、Chrome の JavaScript エンジン V8 における整数オーバーフローであり、セキュリティ研究者の Shaheen Fazim 氏によって 6 月 17 日に報告されました。
• CVE-2025-7657、Chrome の WebRTC コンポーネントにおけるメモリ使用後のバグ。6 月 25 日に jakebiles によって報告されました。
• ファジング、監査、および AddressSanitizer や libFuzzer などの自動化ツールを通じて発見された他の 3 つの内部セキュリティ修正。

Google は、これら 5 つの脆弱性が実際に悪用されているかどうかについては確認していない。

サイバー脅威が発生する前に、その脅威から身を守る方法についての包括的な詳細をお読みください 。