Googleは今週、79の脆弱性を修正するChrome 148アップデートをリリースしました。複数のコンポーネント全体にわたる14の重大度が高いバグが含まれています。
最初の重大な問題は、CVE-2026-8509として追跡されるWebMLのヒープバッファオーバーフローで、インターネット大手企業は$43,000のバグ報酬を支払いました。
Googleはこの欠陥の詳細を共有していませんが、その重大度評価と支払われた金額から、リモートコード実行のために悪用される可能性があることが示唆されています。
2番目の重大な問題は、CVE-2026-8510で、Skiaの整数オーバーフロー弱点であり、報告研究者は$25,000の報酬を獲得しました。
最新のChrome更新で解決された残りの12の重大度が高いセキュリティ欠陥は、すべてGoogleによって発見されました。
これらには、UI、ファイルシステム、入力、Aura、HID、Blink、タブグループ、およびダウンロードの8つのuse-after-free脆弱性、DataTransferでの信頼されていない入力の不十分な検証の欠陥、WebShareのオブジェクトライフサイクルの問題、ANGLEの整数オーバーフロー、およびPaymentsの競合状態が含まれます。
Chrome 148アップデートは、複数のuse-after-free、範囲外書き込み、ヒープバッファオーバーフロー、信頼されていない入力の不十分な検証、整数オーバーフロー、不十分なポリシー実施、範囲外読み取り、およびタイプの混乱の欠陥を含む37の高い重大度の弱点も解決します。
Googleはこれらの欠陥の4つに対して$44,000のバグ報酬を支払ったと述べています(上位2つの報酬は$25,000と$10,000でした)。会社がいくつかの他の問題の金額をまだ開示していないため、最終的な金額はより高い可能性があります。
Googleはこれらの問題のいずれもが野生で悪用されていることについて言及していません。
最新のChrome反復は、Linuxの場合はバージョン148.0.7778.167として、WindowsおよびmacOSの場合はバージョン148.0.7778.167/168として展開されています。
Firefoxもセキュリティアップデートを受け取りました。その最新の反復、つまりバージョン150.0.3は、セキュリティアップデートで、JIT、WebAssembly、JavaScriptエンジン、およびプロファイルバックアップの5つの高い重大度の欠陥を解決します。
翻訳元: https://www.securityweek.com/chrome-148-update-patches-critical-vulnerabilities/
