Chromeの緊急アップデート、悪用されたゼロデイ脆弱性を修正

GoogleはWindows、macOS、Linux向けのChromeに緊急アップデートを配信しました。今回のアップデートでは、合計74件の脆弱性が修正されています。中でも特に重要なのは、そのうちの1件がすでに実際の攻撃に悪用されている点です。新しい安定版のバージョン番号は、Windows・macOSが149.0.7827.102および149.0.7827.103、Linuxが149.0.7827.102です。通常どおり、展開は今後数日から数週間にわたって段階的に行われます。

V8エンジンで悪用中のゼロデイ脆弱性

最も深刻な問題はCVE-2026-11645で、CVSS 3.1スコア8.8の「High(高)」に分類されています。この脆弱性はJavaScript実行エンジンのV8に存在します。具体的には、コードが意図された境界外のメモリ領域を読み書きできてしまうバグです。Googleは、機能するエクスプロイトコードがすでに存在しており、攻撃者によって実際に悪用されていることを確認しています。

CVE-2026-11645を発見したのは「303f06e3」というハンドルネームを持つ研究者で、55,000ドルの報奨金を獲得しました。現時点では、Googleはさらなる技術的詳細の公開を控えています。これは、攻撃者が手法をさらに洗練させる前に、多くのユーザーがパッチを適用できる時間を確保するための対応です。

17件のクリティカルなメモリ安全性の脆弱性

ゼロデイ脆弱性に加え、今回のリリースでは17件のクリティカルな脆弱性も修正されています。その多くは、解放済みのメモリ領域にアクセスしてしまう「解放後使用(use-after-free)」エラーに起因しています。これらのバグはOzone、File Input、Aura、TabStrip、Bluetooth、Gamepad、Autofill、Views、Printing、Compositing、Web Apps、Proxyなど、幅広いコンポーネントに及んでいます。また、libyuvライブラリの整数オーバーフローによるクリティカルな脆弱性も1件含まれています。

多数の「高」深刻度の脆弱性も修正

これらのクリティカルな問題に加え、Googleはブラウザ全体に散在する多数の「高」深刻度の脆弱性も修正しました。影響を受けるコンポーネントは、V8、ネットワーキング、拡張機能、サービスワーカー、メディア処理、PDFレンダリング、GPUプロセス、WebRTC、Skia、Dawn、パスワード管理、新しいタブページ、ゲストモード、ユーザーインターフェースなど多岐にわたります。

Chromeを今すぐアップデートする方法

Googleはユーザーに対し、このアップデートを遅らせないよう強く呼びかけています。通常、Chromeはバックグラウンドで自動的に新しいバージョンをインストールします。ただし、設定の「Chromeについて」から手動でアップデートの確認を行うことも可能です。ダウンロードが完了したら、ブラウザを再起動するだけでアップデートが適用されます。

翻訳元: https://meterpreter.org/chrome-zero-day-cve-2026-11645/

ソース: meterpreter.org