Googleは大規模なChrome セキュリティアップデートをリリースし、安定版チャネルで79個の脆弱性を修正しました。これには、攻撃者が任意のコードを実行またはシステムをクラッシュさせるおそれのある14個の重大な欠陥が含まれています。
このアップデートはWindows・Mac向けバージョン148.0.7778.167/168、Linux向け148.0.7778.167として利用可能になり、世界中のユーザーに段階的にデプロイされています。
最新リリースハイライトは、WebML、Skia、Blink、GPU、メディアなど広く使用されているブラウザコンポーネントでの継続的なリスクを強調しています。
これらの脆弱性のいくつかは、use-after-free、ヒープバッファオーバーフロー、整数オーバーフローなどのメモリセーフティの問題に関連しており、これらは脅威アクターによってアクティブに悪用されている一般的なバグクラスです。
79個のChrome脆弱性
14個の重大な欠陥の中で、最も深刻なものはCVE-2026-8509(外部研究者によって報告されたWebMLのヒープバッファオーバーフロー)とCVE-2026-8510(Skiaグラフィックスエンジンの整数オーバーフロー)です。
これらの脆弱性により、リモート攻撃者が特別に細工されたウェブコンテンツ経由でコードを実行できるおそれがあります。
複数のuse-after-free脆弱性がUI、ファイルシステム、入力、Aura、HID、Blink、ダウンロード、タブグループを含むChromeのコアコンポーネント全体で発見されました。
これらの問題は、メモリが解放された後にアクセスされた場合に発生し、多くの場合ブラウザのクラッシュまたは任意のコード実行につながります。
Googleはまた、DataTransferおよびWebShareなどのコンポーネント内の重大な検証およびライフサイクルの問題、ならびにPaymentモジュール内の競合状態もパッチしました。
重大な欠陥に加えて、Googleはブラウザの主要な機能に影響する数十個の高重大度脆弱性に対応しました。これらには、WebAudio、WebRTC、コーデック、GPU、フォントのメモリ破損バグ、およびV8 JavaScriptエンジンとANGLEの型混同の問題が含まれます。
注目すべきことに、CVE-2026-8539はSanitizer API内のスクリプトインジェクションの欠陥を明らかにしています。一方、CVE-2026-8540はV8の型混同を含み、どちらも高度な悪用チェーンの構築に利用される可能性があります。
複数のバグはまた、ダウンロード、GPU、リーディングモード、サイト分離に影響する、信頼されていない入力の不十分な検証から生じています。これらの弱点により、攻撃者はセキュリティの境界をバイパスしたり、悪意のあるデータを注入したりできるおそれがあります。
このアップデートには、ポリシー実装の弱点、UIの矛盾、およびサイドチャネル漏洩を含む中程度の重大度脆弱性の修正も含まれています。これらはPayment、WebXR、GPU、ナビゲーション、AI関連機能などの領域に影響します。
個別にはそれほど深刻ではありませんが、これらの欠陥が高い重大度のバグと連鎖した場合でも、マルチステージ攻撃に寄与する可能性があります。
Googleは問題の特定と報告について、内部セキュリティチームと外部研究者の両方に信用を与えています。バグバウンティの報酬は重大な発見に対して最大43,000ドルに達しました。
注目されたCVE
- CVE-2026-8509 – WebMLのヒープバッファオーバーフロー(重大)
- CVE-2026-8510 – Skiaの整数オーバーフロー(重大)
- CVE-2026-8511 – UIのuse-after-free(重大)
- CVE-2026-8512 – ファイルシステムのuse-after-free(重大)
- CVE-2026-8513 – 入力のuse-after-free(重大)
- CVE-2026-8514 – Auraのuse-after-free(重大)
- CVE-2026-8515 – HIDのuse-after-free(重大)
- CVE-2026-8516 – DataTransferの不十分な検証(重大)
- CVE-2026-8517 – WebShareのオブジェクトライフサイクルの問題(重大)
- CVE-2026-8518 – Blinkのuse-after-free(重大)
- CVE-2026-8519 – ANGLEの整数オーバーフロー(重大)
- CVE-2026-8520 – Paymentの競合状態(重大)
- CVE-2026-8521 – タブグループのuse-after-free(重大)
- CVE-2026-8522 – ダウンロードのuse-after-free(重大)
- CVE-2026-8523~CVE-2026-8559 – 高重大度の問題(メモリ破損、型混同、検証の欠陥)
- CVE-2026-8560~CVE-2026-8587 – 中程度の重大度の問題(ポリシー実装、UI問題、漏洩)
Googleはこれらの脆弱性のアクティブな悪用を確認していませんが、複数のメモリ破損バグの存在は実世界の攻撃のリスクを大幅に増加させています。ブラウザは信頼されていないウェブコンテンツを処理するため、攻撃者の主な標的のままです。
ユーザーは設定→Chromeについてに移動してChromeを直ちに更新することを強くお勧めします。組織はエンドポイント全体のパッチデプロイメントを優先して、露出を減らす必要があります。
このリリースは、ベンダーがAddressSanitizer、libFuzzer、制御フロー整合性などのファジングツールに多額の投資を行っているとしても、複雑なブラウザエコシステムが開発サイクルの早い段階で脆弱性を検出することをいかに継続して行い、セキュリティリスクが引き続き導入されているかを再び強調しています。
翻訳元: https://gbhackers.com/google-patches-79-chrome-security-vulnerabilities/
