米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Google ChromiumのV8エンジンに存在する重大な脆弱性を「悪用が確認された脆弱性カタログ(KEVカタログ)」に追加し、この脆弱性が実際の攻撃で積極的に悪用されていると警告しています。
CVE-2026-11645として追跡されているこのゼロデイ脆弱性は、Chromiumベースのブラウザに組み込まれたV8 JavaScriptおよびWebAssemblyエンジンに影響を与えるもので、企業・個人を問わず広範な環境に深刻なリスクをもたらします。
CVE-2026-11645は、Google ChromiumのV8エンジンにおける境界外読み書き(Out-of-Bounds Read/Write)の脆弱性であり、CWE-787(境界外書き込み)およびCWE-125(境界外読み取り)に分類されています。
この脆弱性を悪用すると、リモートの攻撃者が特細工されたHTMLページにアクセスさせるだけで、ブラウザの訪問以外にユーザー操作を一切必要とせずにサンドボックス環境内で任意コードを実行できます。
CISAは、この脆弱性がChromiumエンジン自体に存在するため、影響範囲はGoogle Chromeにとどまらないと指摘しています。
Microsoft Edge、Opera、Brave、VivaldiなどChromiumコードベースを使用するすべてのブラウザが影響を受ける可能性があり、攻撃対象領域は大幅に拡大します。
CISAは2026年6月9日にCVE-2026-11645をKEVカタログに追加し、実際の攻撃での悪用を確認しています。
連邦民間行政機関(FCEB)は、拘束的運用指令(BOD)22-01に基づき、2026年6月23日までにこの脆弱性を修正することが義務付けられています。
CISAはランサムウェアとの直接的な関連をまだ確認していませんが、ランサムウェアとの関連性については「不明」と記載しており、その可能性を排除できない状況です。
ブラウザベースのゼロデイ脆弱性は、ランサムウェア攻撃者やスパイ活動に関与する脅威アクターの双方が好んで利用する初期侵入手段であることから、組織は最大限の緊急度をもって対処する必要があります。
JavaScriptエンジンにおける境界外メモリの脆弱性は、サンドボックス脱出エクスプロイトと組み合わせることでシステム全体の完全侵害につながる恐れがあるため、特に危険です。
組織は、管理下にあるすべてのエンドポイントでChromiumベースのブラウザに対する迅速なパッチ適用ポリシーを徹底し、最前線の防御としてブラウザセキュリティの維持を優先することが強く推奨されます。
翻訳元: https://cyberpress.org/exploited-google-chromium-0-day/
