PR

Googleが2025年8件目のChromeゼロデイを緊急修正

Security

Source:https://www.bleepingcomputer.com/news/security/google-fixes-eighth-chrome-zero-day-exploited-in-attacks-in-2025/

🛡 概要

Googleは、実際の攻撃に悪用されているChromeのゼロデイ脆弱性に対処する緊急アップデートを公開しました。今年に入って8件目のゼロデイ修正です。安定版デスクトップの新バージョンは Windows 143.0.7499.109、macOS 143.0.7499.110、Linux 143.0.7499.109 で、順次ロールアウト中です。Googleは「バグID 466192044に対するエクスプロイトが確認されている」とし、詳細はユーザ大多数の更新完了まで非公開としています。

Chromiumのバグ報告によれば、本件はOpenGL ES互換レイヤであるLibANGLEのMetalレンダラにおけるバッファサイズ不備に起因するバッファオーバーフローです。これによりメモリ破損、クラッシュ、情報漏えい、任意コード実行のリスクが生じます。CVE IDやCVSSは調整中で未公表です。

🔍 技術詳細

LibANGLEはChromiumがWebGL/Canvas等のグラフィックスAPIを各OSのネイティブAPIに変換するコンポーネントで、Direct3D/Vulkan/Metalなどにトランスレートします。今回の欠陥はMetalバックエンドにおける不適切なバッファ確保・境界チェック不足により、描画コマンドやシェーダ経由で供給される頂点/インデックス/ユニフォーム等のバッファが想定より小さく割り当てられ、GPUプロセス(chromeのgpu-process)がメモリ破壊を起こすものです。攻撃者は細工したWebGLコンテンツやシェーダを被害者に閲覧させることで、レンダラ→GPUプロセス間の処理でメモリ破損を誘発し、クラッシュやデータ漏えい、条件が整えばコード実行に至る可能性があります。macOS環境でMetal経路が主に影響を受ける一方、共有コードの修正や安定性改善のため全プラットフォームで更新が提供されています。Googleは修正の普及を優先し、バグ詳細の公開を制限しています。なお本ゼロデイのCVE/CVSSは未割当・未公表で、追加情報は調整後に予定されています。

⚠ 影響

攻撃者が細工したウェブページを閲覧させるだけでクラッシュや情報漏えい、任意コード実行の恐れがあります。サンドボックス脱出(例:2025年3月に修正されたCVE-2025-2783)等と連鎖すれば、OS権限の奪取や持続化に進む可能性があります。過去にはアカウント乗っ取りに悪用されたCVE-2025-4664やV8エンジン欠陥(CVE-2025-5419)もあり、ブラウザ経由の初期侵入リスクが継続しています。

🛠 対策

  • 即時更新: Chromeのバージョンを Windows 143.0.7499.109、macOS 143.0.7499.110、Linux 143.0.7499.109 へ。企業はGPO/Intune/Keystone/リポジトリで強制配布。
  • 一時的緩和(更新不可の場合の暫定措置): 企業ポリシーでWebGLEnabledを無効化、またはHardwareAccelerationModeEnabled=falseを検討。高リスク端末では不要不急の外部サイト閲覧を制限。
  • ブラウザ再起動: 自動更新を許可し、次回起動で適用。ヘルプ→Chromeについてで手動確認も推奨。
  • 資産・バージョン可視化: 管理台帳とエンドポイントからChromeビルド番号を収集し、未更新端末を特定。

CVSS: 本ゼロデイは未公表。過去ゼロデイ(CVE-2025-4664、CVE-2025-5419、CVE-2025-2783等)のCVSSも本稿執筆時点では公的な確定値を確認できていません。

📌 SOC視点

  • プロセス生成監視: chrome.exe/chrome(renderer/gpu-process)からの子プロセス生成(cmd.exe、powershell.exe、wscript/mshta、osascript、sh等)を高優先度検知(Sysmon EID 1、macOS ESフレームワーク、auditd execve)。
  • モジュール/クラッシュ兆候: ANGLE/GL関連モジュールの読み込み直後の例外やGPUプロセスのクラッシュ多発(Windows Application Error 1000、WER 1001、EDRのクラッシュテレメトリ)。
  • ネットワーク相関: 異常クラッシュ前にアクセスした未信頼ドメイン/広告ネットワーク/短縮URLを相関し、IOCハンティング。
  • バージョン準拠監査: EDR/MDMからChromeビルドを収集し、未更新端末を監視リスト化。

📈 MITRE ATT&CK

初期アクセス: T1189 Drive-by Compromise(細工サイト閲覧での侵入)。実行: T1203 Exploitation for Client Execution(ブラウザの脆弱性悪用で任意コード実行)。権限昇格: T1068 Exploitation for Privilege Escalation(CVE-2025-2783のようなサンドボックス脱出と連鎖した場合)。防御回避: T1211 Exploitation for Defense Evasion(ブラウザ/サンドボックスの制御回避)。これらはWebGL/ANGLE経路を悪用した実行と、連鎖でのサンドボックス回避という技術的事実に基づきます。

🏢 組織規模別助言

  • 小規模(〜50名): 自動更新を有効化し、全端末の再起動を周知。高リスク業務は更新完了まで非業務サイトを制限。
  • 中規模(50〜500名): 段階配布リング(IT→パワーユーザ→全社)を即日開始。VDI/キオスクは互換性影響を検証の上で強制更新。
  • 大規模(500名以上): エンタープライズポリシーで期限付き強制更新、未更新端末にネットワーク制限。SOCでドライブバイ検知ルールを強化し、脆弱バージョンの継続使用を可視化。

🔎 類似事例

  • CVE-2025-13223(ゼロデイ、Google TAG報告。詳細非公開)
  • CVE-2025-10585(ゼロデイ、Google TAG報告。詳細非公開)
  • CVE-2025-6558(ゼロデイ、Google TAG報告。詳細非公開)
  • CVE-2025-4664(ゼロデイ、アカウント乗っ取りに悪用)
  • CVE-2025-5419(V8エンジンのゼロデイ、TAGが発見)
  • CVE-2025-2783(サンドボックス脱出。Kaspersky報告、ロシア政府/メディアへのスパイ活動で悪用)

🧭 次の一手

まず全端末のChromeを上記ビルドへ更新し、再起動で適用確認。続いてWebGL一時無効化を含む緩和策の是非を評価。SOCはブラウザ子プロセス検知ルールの適用と未更新端末の隔離方針を整備してください。詳細な運用手順や検知チューニングは次のコンテンツを参照してください。