- GoogleがChrome V8の深刻な脆弱性(CVE-2026-11645)にパッチを公開 — 実際の攻撃への悪用を確認
- バージョン149.0.7827.103より前のChromeで、細工されたHTMLページによるリモートコード実行が可能
- Windows・Mac・Linux向けに修正版をリリース済み — 早急なアップデートを推奨
Googleは、Chromeブラウザに存在する深刻な脆弱性を修正しました。この脆弱性は、すでに実際の攻撃で悪用されていたとみられています。
同社が公開した新たなセキュリティアドバイザリでは、多数の脆弱性への対応が報告されています。中でも注目されるのが、Chrome V8における「境界外読み書き(Out of Bounds Read/Write)」のバグです。この脆弱性を利用すると、攻撃者は細工されたHTMLページを通じてサンドボックス内で任意のコードをリモートから実行できる可能性があります。対象となるのは、バージョン149.0.7827.103より前のGoogle Chromeです。
この問題はCVE-2026-11645として管理されており、深刻度スコアは10点満点中8.8(高)と評価されています。
攻撃の詳細は非公開
理論上、この脆弱性を悪用すると、企業のメールや文書、セッションクッキーといった機密情報が窃取される可能性があります。脆弱なバージョンのChromeで悪意あるページを開くだけで、エクスプロイトが実行されてしまいます。
Googleはアドバイザリの中で「CVE-2026-11645のエクスプロイトが実際に出回っていることを把握している」と述べる一方、詳細については明らかにしていません。同社はさらに「大多数のユーザーに修正版が適用されるまで、バグの詳細やリンクへのアクセスを制限する場合がある」とも付け加え、「他のプロジェクトも依存しているサードパーティライブラリにバグが存在し、そのプロジェクトがまだ修正していない場合も、引き続き制限を維持する」と説明しています。
このバグは現在、安定版デスクトップチャンネルにおいて修正済みです。パッチはWindows(149.0.7827.102)、Mac(149.0.7827.103)、Linux(149.0.7827.102)向けにリリースされています。
Googleによると、パッチの全世界への展開には通常数週間かかるとされていますが、多くの場合、アドバイザリが公開される時点ですでに大半のブラウザには修正が適用されています。自分のChromeが最新版かどうか確認するには、アドレスバーにchrome://settings/helpと入力してEnterキーを押すと、Chromeが自動的にアップデートを確認します。新しいバージョンが見つかった場合は、ダウンロードとインストールの案内が表示されます。
