Googleが悪用確認済みゼロデイ脆弱性に対処するChromeの緊急セキュリティアップデートを公開

Googleは、野放し状態で積極的に悪用されているゼロデイ脆弱性を含む複数の脆弱性に対処するため、Chromeブラウザの緊急セキュリティアップデートを公開しました。今回のアップデートにより、ChromeはWindowsおよびMacでバージョン149.0.7827.102/.103に、Linuxでは149.0.7827.102にそれぞれアップグレードされます。

Googleはゼロデイ脆弱性の存在を公式に認定しました。CVE-2026-11645として追跡されているこの脆弱性は、V8 JavaScriptエンジンにおける境界外メモリアクセスの問題です。深刻度は「高」に分類されていますが、実際に悪用が確認されていることでリスクはさらに高まっており、攻撃者が細工されたWebコンテンツを通じて任意のコードを実行できる可能性があります。

Chromeセキュリティアップデートの詳細

今回のリリースでGoogleが修正したセキュリティ脆弱性は合計74件にのぼり、そのうち多くが深刻度「クリティカル」に分類されています。クリティカルな脆弱性の大部分は、Ozone、Bluetooth、TabStrip、Views、Web Appsなど、Chromeのさまざまなコンポーネントにおける「解放済みメモリ使用(use-after-free)」によるメモリ破壊の問題です。

これらの脆弱性はヒープ破壊を引き起こす可能性があり、悪用に成功した場合はリモートコード実行に利用されるおそれがあります。

Googleは、大多数のユーザーがアップデートを適用するまでの間、さらなる悪用を防ぐため、これらの脆弱性に関する詳細な技術情報の公開を制限しています。また、サードパーティライブラリに起因するバグについては、完全な情報開示が遅れる可能性があると同社は説明しています。

報告された脆弱性の大部分は、2026年5月下旬にセキュリティ研究者や社内チームによって発見されたものです。Googleは、テスト中にこれらの問題の一部を特定した高度なバグ検出システム(AddressSanitizer、MemorySanitizer、libFuzzer)の貢献を評価しています。

悪用が確認された脆弱性の存在は、ユーザーおよび組織がブラウザを直ちにアップデートする必要性を強く示しています。脅威アクターはこうした脆弱性をドライブバイダウンロード攻撃や悪意のあるウェブサイトを通じて武器化することが多く、パッチ未適用のシステムは深刻なリスクにさらされます。

修正されたクリティカルCVE一覧

CVE ID 脆弱性の種類 コンポーネント 報告日
CVE-2026-11628 Use-after-free Ozone 2026-05-25
CVE-2026-11629 Use-after-free Ozone 2026-05-26
CVE-2026-11630 Use-after-free File Input 2026-05-26
CVE-2026-11631 Use-after-free Aura 2026-05-26
CVE-2026-11632 Use-after-free TabStrip 2026-05-26
CVE-2026-11633 Use-after-free Bluetooth 2026-05-27
CVE-2026-11634 Use-after-free Gamepad 2026-05-27
CVE-2026-11635 Use-after-free Bluetooth 2026-05-27
CVE-2026-11636 Use-after-free Autofill 2026-05-27
CVE-2026-11637 Use-after-free Views 2026-05-27
CVE-2026-11638 Use-after-free Printing 2026-05-27
CVE-2026-11639 Use-after-free Compositing 2026-05-27
CVE-2026-11640 Integer overflow libyuv 2026-05-28
CVE-2026-11641 Use-after-free Bluetooth 2026-05-28
CVE-2026-11642 Use-after-free Web Apps 2026-05-29
CVE-2026-11643 Use-after-free Proxy 2026-05-29
CVE-2026-11644 Use-after-free Views 2026-05-30

ユーザーは「設定」→「Chromeについて」からアップデートを適用し、これらの脆弱性から確実に保護されるよう強くお勧めします。組織においてはパッチ管理を優先事項として取り組み、特にV8エンジンの脆弱性に関連する悪用の兆候を継続的に監視することが重要です。

修正された問題の規模と深刻さを踏まえると、今回のアップデートはブラウザのセキュリティを維持し、システムの侵害を防ぐうえで不可欠なものといえます。

翻訳元: https://gbhackers.com/google-issues-urgent-chrome-security-update/

ソース: gbhackers.com