Google Chromeのセキュリティ脆弱性により攻撃者がコードをリモート実行可能

Googleは、複数の脆弱性に対応するChromebrowserの重大なセキュリティアップデートをリリースし、攻撃者が影響を受けたシステムで任意のコードを実行できる可能性がある脆弱性に対処しました。

現在グローバルにユーザーへロールアウトされているアップデートは、ChromeをWindowsおよびmacOSでバージョン148.0.7778.178/179に、Linuxで148.0.7778.178にアップグレードします。

公式Chrome Releasesブログによると、最新のアップデートは16のセキュリティ脆弱性を修正します。これには複数の高深刻度および重大な欠陥が含まれています。

Google Chromeのセキュリティ脆弱性

最も懸念される2つの問題、CVE-2026-9111とCVE-2026-9110は重大として評価されており、リモートコード実行（RCE）のために悪用される可能性があります。

最も深刻な欠陥であるCVE-2026-9111は、ブラウザ内のリアルタイム通信を担当するコンポーネントであるWebRTCの解放後使用（use-after-free）脆弱性です。

解放後使用の問題は、メモリが不適切に処理されるときに発生し、攻撃者は解放されたメモリを操作することで悪意のあるコードを実行できます。

もう1つの重大な脆弱性であるCVE-2026-9110は、ブラウザのユーザーインターフェース（UI）での不適切な実装が関係しています。技術的詳細は限定されていますが、このような欠陥はしばしば他のバグと組み合わせてセキュリティ保護をバイパスするために使用できます。

これらの脆弱性は特に危険です。悪意のあるWebサイトにユーザーをアクセスさせたり、作成されたWebコンテンツと対話させるだけでリモートからトリガーできるためです。

複数の高深刻度バグが確認

重大な問題に加えて、Googleはブラウザの主要なコンポーネントに影響を与える複数の高深刻度の脆弱性にパッチを適用しました：

これらの欠陥は、悪用の条件に応じて、メモリ破損、データ漏洩、またはサンドボックスのエスケープにつながる可能性があります。特に、GPUおよびWebRTCコンポーネントはそれらの複雑さと信頼されていない入力への曝露のため、頻繁なターゲットのままです。

このアップデートはまた、ヒープバッファオーバーフロー、境界外読み取り、および不十分な入力検証を含むいくつかの中程度深刻度の脆弱性も解決します。個別には重大度は低いですが、これらのバグはマルチステージ攻撃でも活用される可能性があります。

たとえば、CVE-2026-9124は信頼されていない入力の検証不足を強調しており、これはブラウザ悪用チェーンの一般的な根本原因です。

Googleは内部チームと外部研究者の両方に、これらの脆弱性の発見を認めました。バグバウンティの報奨金は高深刻度の発見に対して最大11,000ドルに達し、ブラウザセキュリティの向上における継続的なコミュニティの関与を示しています。

同社はまた、AddressSanitizer、libFuzzer、および制御フロー整合性（CFI）を含む高度なファジングとメモリ安全性ツールを使用して多くの脆弱性が検出されたことにも注目しました。

ユーザーは潜在的なリスクを軽減するために、Chromeを直ちに最新バージョンにアップデートするよう強くお勧めします。アップデートは段階的にロールアウトされていますが、ユーザーは以下を使用して手動でアップデートを確認できます：

設定 → Chromeについて → 更新を確認。

セキュリティ専門家は、ブラウザのアップデートを遅延させると、特にパッチの採用後に脆弱性の詳細が公開されたときに、アクティブな悪用への曝露が増加することを強調しています。

組織は、エンドポイント全体でタイムリーなパッチ管理を確保し、悪用の試みを示す可能性のある通常のブラウザアクティビティを監視する必要があります。

このChromeアップデートは、最新のブラウザにおけるメモリ安全性の脆弱性によってもたらされる継続的なリスクを強調しています。リモートコード実行を可能にする可能性のある複数の重大および高深刻度の欠陥により、迅速なパッチが個々のユーザーと企業の両方にとって不可欠のままです。