CISA Alerts on Google Chromium Input Validation Flaw Actively Exploited
2025/07/24 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium の不適切な入力検証の脆弱性 CVE-2025-6558 が、脅威アクターにより積極的に悪用されているとして、緊急警報を発した。この脆弱性が悪用されると、複数の Chromium ベースの Web ブラウザに影響が生じ、数百万のユーザーが重大なリスクに直面するという。
2025年7月22日の時点で CISA は、KEV (Known Exploited Vulnerabilities) カタログに脆弱性 CVE-2025-6558 を登録した。さらに CISA が警告するのは、実際の攻撃シナリオにおいて、この脆弱性が積極的に悪用されている点である。
脆弱性の詳細
脆弱性 CVE-2025-6558 は、Google Chromium の ANGLE および GPU コンポーネントに存在する、不適切な入力検証に起因する。したがって、それを悪用するリモートの攻撃者は、特別に細工された HTML ページを介して、サンドボックス・エスケープの可能性を手にする。
この脆弱性は、CWE-20 (不適切な入力検証) に分類され、悪用により想定外のシステム動作が引き起こされる。このエクスプロイトの巧妙さは、隔離されたブラウザ環境内に悪意のコードを封じ込めるよう設計された、サンドボックスのセキュリティ境界を回避できる点にある。
影響範囲と対応指針
Chromium は、数多くのブラウザ・プラットフォームの基盤技術として採用されている。したがって、この脆弱性が影響を及ぼす範囲は、Google Chrome だけに留まらず、Microsoft Edge/Opera などにも広がるため、世界中の数億人のユーザーがサイバー攻撃のリスクにさらされる。
CISA は、影響を受ける連邦政府の組織に対して、3週間以内での是正措置を求めている。具体的には、2025年8月12日を対応期限と定め、以下の対応策を講じるよう指示している:
- 拘束力のある運用指令 (BOD) 22-01 に基づく対策の実施
- ベンダーが提供する修正/緩和策の適用
- 適切な緩和策が存在しない場合の、脆弱な製品の使用中止
緊急性と推奨される対応
現時点において、この脆弱性とランサムウェア・キャンペーンとの関連は確認されていない。しかし、積極的な悪用が観測されていることから、サイバー・セキュリティ・コミュニティ全体において懸念が高まっている。
サンドボックス・エスケープ攻撃は深刻であり、それに成功した攻撃者は、システムへのアクセス権を取得し、さらなる悪意のペイロード展開を可能にするという。
この脆弱性の影響を受ける、すべての組織およびユーザーに対して強く推奨されるのは、パッチの適用および緩和策の実施を最優先とし、この深刻な脆弱性に対処することだ。
現時点で確認されている、積極的な悪用/広範なブラウザへの影響/サンドボックスエスケープという複合的な要因により、すべてのシステムにおいて高優先度のセキュリティ課題となるため、迅速な対応が求められる。
Chromium に見つかった脆弱性により、日常的に使用される複数のブラウザに影響が生じるとのことです。この、サンドボックスの壁が破られると、さまざまな侵害が可能になると、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。なお、今回の CISA KEV では、この Chromium の他に、CrushFTP と SysAid の脆弱性が登録されています。
IoT OT Security News 
You must be logged in to post a comment.