Chromeアップデートで2025年5件目のゼロデイ脆弱性を修正（CVE-2025-6558）

nosa

2025.07.17

7月17日：サイバーセキュリティ関連ニュース

Chromeアップデートで2025年5件目のゼロデイ脆弱性を修正（CVE-2025-6558他）

SecurityWeek – July 16, 2025

Googleは15日、Chromeブラウザのセキュリティアップデートを発表し、すでに悪用が確認されているゼロデイ脆弱性を含む6件のバグを修正した。

このゼロデイはCVE-2025-6558として追跡されているもので、ChromeのANGLEとGPUコンポーネントにおける不適切な入力検証の脆弱性と説明された。米NISTのアドバイザリによると、この欠陥を悪用すればリモートの攻撃者は細工したHTMLページを介してChromeのサンドボックスを回避できるという。

ちなみにANGLE（Almost Native Graphics Layer Engine）は、Windows版ChromeとFirefoxの両方でデフォルトのWebGLバックエンドとして使用されるオープンソースのクロスプラットフォームグラフィックエンジン。GPUコンポーネントはChromeでは主に、Webページ上のグラフィックや動画コンテンツをレンダリングするために使われている。

Googleが今年修正したChromeのゼロデイ脆弱性は、これで5件目となった。例によって観測された攻撃の詳細は明らかにされていないが、この欠陥はGoogleの脅威分析グループ（TAG）によって報告されたとのこと。TAGは商用スパイウェアベンダーが悪用する脆弱性を発見することで知られ、今回発見されたバグも同様の脆弱性である可能性があるという。

15日のアップデートでは、外部の研究者によって報告された2件のバグ、CVE-2025-7656（V8 JavaScriptエンジンの整数オーバーフロー問題）とCVE-2025-7657（WebRTCの解放後メモリ使用の脆弱性）も修正された。Chromeの最新バージョンは、WindowsおよびmacOS向けにバージョン138.0.7204.157／.158、Linux向けにバージョン138.0.7204.157としてリリースされている。

21歳の元米兵、ハッキングと通信会社への恐喝で有罪認める

The Record – July 16th, 2025

21歳の元米陸軍兵士が15日、複数の通信大手からデータを盗み出し、ネット上で販売または身代金を要求したとして有罪を認めた。

「Snowflakeのハッカーギャング」の一員とされるCameron John Wagenius被告は米ワシントン州シアトルの連邦地方裁判所で電信詐欺、恐喝、個人情報の加重窃盗の罪を認めており、最高27年の拘禁刑を科される可能性がある。同被告は今年3月、機密の通話記録をオンラインフォーラムに投稿し、プラットフォームを通じて送信するという、今回とは別だが関連のある2件の容疑でも有罪を認めている。

検察によると、Wagenius被告は複数の米通信会社のログイン情報を入手し、システムに侵入して恐喝を実行。数名の共犯者と共に、盗んだデータの身代金として少なくとも100万ドルを要求していたという。ハッキングを行ったのは米軍在籍中の2023年4月から2024年12月18日にかけてで、ハッカー2人と共謀して多くの機微通話記録を盗んだとされている。

また、同被告は米国に身柄を引き渡さない国への亡命方法についてオンラインで検索していたことや、ハッキングした情報を少なくとも1つの外国情報機関に売却しようとしていたことが明らかになっている。