Googleは、Chromeの74件の脆弱性を修正しました。その中には、実際の攻撃への悪用が確認されている高深刻度のゼロデイ脆弱性(CVE-2026-11645)も含まれています。
Googleは月曜日に公開したセキュリティアドバイザリの中で、「CVE-2026-11645を悪用するエクスプロイトが野放し状態にあることを確認している」と述べています。
今回の修正は、Windows・macOS向けにChrome 149.0.7827.102/.103、Linux向けにChrome 149.0.7827.102として提供されており、今後数日から数週間かけてユーザーへ順次配信される予定です。
CVE-2026-11645の概要
CVE-2026-11645は、ChromeのJavaScriptエンジンであるV8に存在する境界外読み取りおよび書き込みの脆弱性です。細工されたHTMLページを通じて、リモートの攻撃者がブラウザのサンドボックス内で任意のコードを実行できる可能性があります。
Googleは、修正対象となったゼロデイ脆弱性の詳細や実際の悪用状況については公表していません。これは、積極的に悪用されている脆弱性に対応する際の同社の標準的な対応方針です。
Googleは「大多数のユーザーに修正が適用されるまで、バグの詳細や関連リンクへのアクセスを制限する場合がある」と説明しています。
また、「バグが他のプロジェクトも依存しているサードパーティライブラリに存在し、そのライブラリがまだ修正されていない場合も、同様に制限を維持する」としています。
この脆弱性は2026年4月27日に匿名の研究者によってGoogleへ報告されたもので、責任ある開示に対して55,000ドルのバグバウンティが支払われています。
CVE-2026-11645は、Googleが2026年に修正したChromのゼロデイ脆弱性としては5件目となります。これまでに修正された脆弱性には、CVE-2026-2441、CVE-2026-3909、CVE-2026-3910、CVE-2026-5281が含まれています。
翻訳元: https://www.helpnetsecurity.com/2026/06/09/google-chrome-zero-day-cve-2026-11645/
