Googleは、野放し状態で積極的に悪用されているゼロデイ脆弱性を含む複数の脆弱性に対処するため、Chromeブラウザの緊急セキュリティアップデートを公開しました。今回のアップデートにより、ChromeはWindowsおよびMacでバージョン149.0.7827.102/.103に、Linuxでは149.0.7827.102にそれぞれアップグレードされます。
Googleはゼロデイ脆弱性の存在を公式に認定しました。CVE-2026-11645として追跡されているこの脆弱性は、V8 JavaScriptエンジンにおける境界外メモリアクセスの問題です。深刻度は「高」に分類されていますが、実際に悪用が確認されていることでリスクはさらに高まっており、攻撃者が細工されたWebコンテンツを通じて任意のコードを実行できる可能性があります。
Chromeセキュリティアップデートの詳細
今回のリリースでGoogleが修正したセキュリティ脆弱性は合計74件にのぼり、そのうち多くが深刻度「クリティカル」に分類されています。クリティカルな脆弱性の大部分は、Ozone、Bluetooth、TabStrip、Views、Web Appsなど、Chromeのさまざまなコンポーネントにおける「解放済みメモリ使用(use-after-free)」によるメモリ破壊の問題です。
これらの脆弱性はヒープ破壊を引き起こす可能性があり、悪用に成功した場合はリモートコード実行に利用されるおそれがあります。
Googleは、大多数のユーザーがアップデートを適用するまでの間、さらなる悪用を防ぐため、これらの脆弱性に関する詳細な技術情報の公開を制限しています。また、サードパーティライブラリに起因するバグについては、完全な情報開示が遅れる可能性があると同社は説明しています。
報告された脆弱性の大部分は、2026年5月下旬にセキュリティ研究者や社内チームによって発見されたものです。Googleは、テスト中にこれらの問題の一部を特定した高度なバグ検出システム(AddressSanitizer、MemorySanitizer、libFuzzer)の貢献を評価しています。
悪用が確認された脆弱性の存在は、ユーザーおよび組織がブラウザを直ちにアップデートする必要性を強く示しています。脅威アクターはこうした脆弱性をドライブバイダウンロード攻撃や悪意のあるウェブサイトを通じて武器化することが多く、パッチ未適用のシステムは深刻なリスクにさらされます。
修正されたクリティカルCVE一覧
| CVE ID | 脆弱性の種類 | コンポーネント | 報告日 |
|---|---|---|---|
| CVE-2026-11628 | Use-after-free | Ozone | 2026-05-25 |
| CVE-2026-11629 | Use-after-free | Ozone | 2026-05-26 |
| CVE-2026-11630 | Use-after-free | File Input | 2026-05-26 |
| CVE-2026-11631 | Use-after-free | Aura | 2026-05-26 |
| CVE-2026-11632 | Use-after-free | TabStrip | 2026-05-26 |
| CVE-2026-11633 | Use-after-free | Bluetooth | 2026-05-27 |
| CVE-2026-11634 | Use-after-free | Gamepad | 2026-05-27 |
| CVE-2026-11635 | Use-after-free | Bluetooth | 2026-05-27 |
| CVE-2026-11636 | Use-after-free | Autofill | 2026-05-27 |
| CVE-2026-11637 | Use-after-free | Views | 2026-05-27 |
| CVE-2026-11638 | Use-after-free | Printing | 2026-05-27 |
| CVE-2026-11639 | Use-after-free | Compositing | 2026-05-27 |
| CVE-2026-11640 | Integer overflow | libyuv | 2026-05-28 |
| CVE-2026-11641 | Use-after-free | Bluetooth | 2026-05-28 |
| CVE-2026-11642 | Use-after-free | Web Apps | 2026-05-29 |
| CVE-2026-11643 | Use-after-free | Proxy | 2026-05-29 |
| CVE-2026-11644 | Use-after-free | Views | 2026-05-30 |
ユーザーは「設定」→「Chromeについて」からアップデートを適用し、これらの脆弱性から確実に保護されるよう強くお勧めします。組織においてはパッチ管理を優先事項として取り組み、特にV8エンジンの脆弱性に関連する悪用の兆候を継続的に監視することが重要です。
修正された問題の規模と深刻さを踏まえると、今回のアップデートはブラウザのセキュリティを維持し、システムの侵害を防ぐうえで不可欠なものといえます。
翻訳元: https://gbhackers.com/google-issues-urgent-chrome-security-update/