🛡 概要
Appleは、Google Chromeユーザーを標的としたゼロデイ攻撃で悪用された高リスクの脆弱性を修正するためのセキュリティアップデートをリリースしました。この脆弱性はCVE-2025-6558として追跡されており、ANGLE(Almost Native Graphics Layer Engine)における不正な入力検証が原因です。この脆弱性により、リモートの攻撃者が特別に作成されたHTMLページを介してブラウザのGPUプロセス内で任意のコードを実行できる可能性があります。
🔍 技術詳細
CVE-2025-6558は、GPUコマンドを処理し、OpenGL ES APIコールをDirect3D、Metal、Vulkan、およびOpenGLに変換するオープンソースのグラフィックス抽象化レイヤーにおける不正な入力の検証に起因します。この脆弱性を悪用することで、攻撃者はブラウザプロセスを基盤となるオペレーティングシステムから隔離するサンドボックスを回避できる可能性があります。Googleの脅威分析グループ(TAG)がこの脆弱性を発見し、Chromeチームに報告したのは6月で、7月15日にパッチが適用されました。
⚠ 影響
この脆弱性が悪用されると、Safariが予期せずクラッシュする可能性があるとAppleは説明しています。「悪意のあるウェブコンテンツの処理により、予期しないSafariのクラッシュが発生する可能性があります」と述べています。これにより、ユーザーはデータの漏洩やデバイスの完全な制御を奪われるリスクにさらされます。CISAもこの脆弱性を攻撃に悪用される可能性があるとして、連邦機関に対し8月12日までにソフトウェアをパッチするように指示しています。
🛠 対策
Appleは、CVE-2025-6558の脆弱性を修正したWebKitのセキュリティアップデートをリリースしました。影響を受けるソフトウェアには、iOS 18.6、macOS Sequoia 15.6、iPadOS 17.7.9、tvOS 18.6、visionOS 2.6、watchOS 11.6などがあります。ユーザーは、これらのアップデートを適用することで、脆弱性を修正し、攻撃から自身のデバイスを守ることができます。また、CISAはすべてのネットワーク防御者に対し、この脆弱性のパッチを優先的に適用するようにアドバイスしています。
