Chromeの深刻な脆弱性、任意コード実行攻撃を可能に

Googleは、Chromeブラウザに対する緊急セキュリティアップデートをリリースしました。このアップデートでは33件の脆弱性が修正されており、そのうち7件は攻撃者が影響を受けるシステム上で任意のコードを実行できる可能性がある「Critical(緊急)」評価です。

Stableチャネルは、WindowsおよびMac向けに149.0.7827.155/.156へ、Linux向けに149.0.7827.155へ更新されており、今後数日から数週間以内に展開が完了する見込みです。

今回のアップデートで最も深刻な脆弱性は、7件のCritical評価の解放後使用(UAF)バグです。これらはいずれも、2026年5月下旬から6月中旬にかけてGoogleの社内セキュリティチームによって報告されました。

解放後使用(UAF)脆弱性は、プログラムが参照するメモリが解放された後もポインタを使い続けることで発生します。この状態を悪用することで、攻撃者はリモートコード実行や権限昇格を実現できます。

WebAuthentication、Passwords、Digital Credentialsという各コンポーネントにCritical評価の脆弱性が集中している点は特に懸念されます。これらのコンポーネントは、機密性の高いIDや認証情報を直接処理しているためです。

これらの領域でエクスプロイトが成功した場合、脅威アクターは認証セッションを乗っ取ったり、保存された認証情報を窃取したり、デジタルIDのワークフローをバックグラウンドで密かに侵害したりできる可能性があります。

Critical評価の脆弱性に加え、今回のアップデートではChromeの広範なサブシステムに影響する26件のHigh(高)重大度の脆弱性も修正されています。

CVE-2026-12447CVE-2026-12466という2件のヒープバッファオーバーフロー脆弱性はWebRTCで発見され、悪意のあるビデオ会議コンテンツによってトリガーされる可能性があります。また、CVE-2026-12461はWebRTCの3件目の脆弱性として、境界外読み取りの問題を追加しています。

特に注目すべきはCVE-2026-12454です。これはChromeのSafe Browsing保護レイヤーに存在する競合状態(レースコンディション)の脆弱性であり、悪意のあるサイトに対するブラウザ組み込みの防御機能を損なう可能性があります。

CVE-2026-12445CVE-2026-12456CVE-2026-12457CVE-2026-12467を含む複数のバグがExtensionsサブシステムに存在することも懸念材料です。侵害された悪意のあるブラウザ拡張機能は、歴史的に企業を標的とした攻撃の確実な侵入経路として利用されてきたためです。

GPU処理における未初期化使用の脆弱性CVE-2026-12469と、File System Accessのポリシー適用不足の脆弱性CVE-2026-12460は、今回のリリースで修正されたやや特殊な攻撃面の一部として挙げられます。

Googleのセキュリティチームは、これらのバグの多くを自動化ツールで検出しました。これは、メモリ安全性の問題を本番環境に到達する前に発見するうえで、プロアクティブなファジングパイプラインがいかに重要であるかを示しています。

Googleのアドバイザリによれば、ユーザーおよび管理者は chrome://settings/help にアクセスして最新バージョンを確認・適用し、直ちにChromeをアップデートする必要があります。

認証情報や認証コンポーネントに脆弱性が集中しており、組織全体のIDセキュリティに対して直接的かつ即時の脅威をもたらすことから、企業のセキュリティチームは管理コンソールを通じたアップデートの展開を優先すべきです。

翻訳元: https://cyberpress.org/critical-chrome-vulnerabilities-4/

ソース: cyberpress.org