Googleはブラウザ「Chrome」のアップデートを公開し、複数の高深刻度の脆弱性にパッチを適用しました。
今回のアップデートには74件の脆弱性の修正が含まれており、そのうち1件はすでに実際の攻撃に悪用されていることが確認されています。
安定版チャンネルはWindows/Mac向けが149.0.7827.102/.103、Linux向けが149.0.7827.102にそれぞれ更新され、今後数週間かけて順次展開される予定です。
Chromeの更新方法
段階的な展開を待たずに手動で更新することも可能です。
最も手軽なのはChromeの自動更新を有効にしておく方法ですが、ブラウザを一度も閉じない状態が続いたり、拡張機能が更新を妨げるなどの問題が発生したりすると、アップデートが遅れることがあります。
手動で更新するには、右上のメニュー(縦三点)をクリックし、設定→Chromeについてへと進んでください。アップデートが利用可能な場合、Chromeが自動的にダウンロードを開始します。完了後にChromeを再起動すれば、今回の脆弱性から保護された状態になります。
各OSでのChromeの更新手順については、あらゆるOSでChromeを更新する方法のガイドもご参照ください。
技術的詳細
Googleが実際の攻撃での悪用を確認した脆弱性は、CVE-2026-11645として管理されています。
Googleによる説明は以下のとおりです。
「149.0.7827.103より前のバージョンのGoogle ChromeにおけるV8の範囲外読み書き(Out of bounds read and write)の脆弱性により、リモートの攻撃者が細工されたHTMLページを通じて、サンドボックス内で任意のコードを実行できる可能性があります。」
この脆弱性は、ChromeおよびChromiumベースのブラウザでJavaScriptの実行を担うV8エンジンで発見されました。
このような脆弱性では、プログラムが本来アクセスすべきメモリ範囲の外を読み書きできてしまいます。その結果、攻撃者はより重要な機能に割り当てられたメモリ領域を操作できるようになり、悪意あるコードをメモリに配置してシステムに実行させることが可能になります。
今回のケースでは、悪意あるWebサイトなど、特別に細工されたHTMLコンテンツをV8が処理する際にこの脆弱性が引き起こされる可能性があります。
「サンドボックス内で」という表現は、悪意あるコードがコンピュータ全体に直接作用するのではなく、制限された隔離環境内でのみ動作することを意味します。攻撃者のコードはブラウザ内に封じ込められるため、サンドボックス外でコードが実行される場合と比べて影響は限定的です。ただし、攻撃者は複数の脆弱性を組み合わせてより深刻な侵害を実現することが多く、この表現はあくまでも被害を抑制する仕組みの説明であり、この脆弱性が無害であることを意味するものではありません。
今回のアップデートでは、拡張機能を使わずにPDFフォームへ署名できる機能など、新機能も追加されています。
脅威を被害が出る前にブロックする
Malwarebytes Browser Guardは、フィッシングページや悪意あるサイトを自動的にブロックします。無料で、ワンクリックでインストール可能です。ブラウザに追加する →
