Googleは、実際の攻撃で悪用されている深刻なゼロデイ脆弱性(CVE-2026-5281)を修正するため、Chromeの緊急セキュリティアップデートをリリースしました。
Stableチャンネルは、WindowsおよびMac向けにバージョン149.0.7827.102/.103、Linux向けに149.0.7827.102へと更新されており、今後数日から数週間かけて段階的に配信される予定です。
現在実際の攻撃で悪用されている脆弱性はCVE-2026-11645で、ChromeのV8 JavaScriptエンジンに存在する深刻な境界外メモリアクセスの欠陥です。Googleは「CVE-2026-11645のエクスプロイトが実際に存在する」と明言しています。
この脆弱性は、外部研究者303f06e3が2026年4月27日に発見しており、5万5,000ドルのバグバウンティ報奨金を獲得しました。この金額は欠陥の深刻さを如実に物語っています。
V8における境界外メモリアクセスの脆弱性は、JavaScriptエンジンがデフォルトで信頼されていないWebコンテンツにさらされているため、特に危険性が高いといえます。
攻撃者はこの欠陥を悪用し、標的を悪意のあるWebページへ誘導したり、細工したスクリプトを注入したりすることで、Chromeのレンダラープロセス内で任意のコードを実行できる可能性があります。さらにサンドボックス脱出と組み合わせることで、システム全体の侵害につながるおそれがあります。
ゼロデイ以外にも、今回のアップデートでは合計74件のセキュリティ脆弱性が修正されており、近年のChromeにおける単一リリースとしては最大規模のパッチ群の一つとなっています。深刻度別の内訳は、懸念すべき内容となっています。
Use-After-Free(UAF)脆弱性は、メモリ破壊の中でも最も悪用されやすい種類の一つです。プログラムが解放済みのメモリに引き続きアクセスすることで発生し、攻撃者がヒープメモリを操作して実行フローを乗っ取ることを可能にします。
Bluetooth、V8、レンダリングサブシステムをはじめとする多くのChromeコンポーネントにわたってUAFバグが集中していることは、Googleの内部チームによる大規模なセキュリティ監査の成果を示しています。これらのバグの大部分は、2026年5月25日から30日にかけて社内から報告されました。
その他の注目すべき欠陥としては、libyuvおよびメディアにおける整数オーバーフロー(CVE-2026-11640、CVE-2026-11655、CVE-2026-11678)、GPUにおける境界外書き込み(CVE-2026-11672)、Bindingsにおける型の混同(CVE-2026-11662)などが挙げられ、いずれも深刻な悪用リスクをはらんでいます。
自動配信を待たずに、今すぐ対応してください。Googleのアドバイザリによると、手動で強制アップデートを行う手順は以下のとおりです。
CVE-2026-11645の実際の悪用が確認されている以上、すべてのChromeユーザー、とりわけ企業環境のユーザーはこのアップデートを最優先事項として対応する必要があります。バグの詳細については、大多数のユーザーへのパッチ適用が完了するまで公開が制限される予定です。
翻訳元: https://cyberpress.org/google-chrome-0-day-vulnerability-exploited/
