Google Chrome 151アップデート、重大なUAF脆弱性を含む382件のセキュリティ欠陥を修正

Googleは、Windows・Mac・Linux向けの安定版チャンネルにChrome 151を展開しました。今回のアップデートでは、攻撃者による任意コード実行を可能にするCritical(重大)評価のUse-After-Free(UAF)脆弱性を複数含む、計382件のセキュリティ上の問題が修正されています。

今回のアップデートでは、ブラウザのコアコンポーネント全体にわたるCritical評価のUAF脆弱性が少なくとも10件修正されました。ChromiumのようなC++コードベースにおいて、UAF脆弱性がいかに根深い課題であるかが改めて浮き彫りになっています。

Critical評価の主なUAF脆弱性としては、ExtensionsのCVE-2026-13774、GPUのCVE-2026-13775、WebUSBのCVE-2026-13778、ChromotingのCVE-2026-13779およびCVE-2026-13787、BrowserのCVE-2026-13782、ViewsのCVE-2026-13783およびCVE-2026-13784、BluetoothのCVE-2026-13785、OzoneのCVE-2026-13786、FullscreenのCVE-2026-13788が挙げられます。

Use-After-Free脆弱性は、解放済みのメモリ領域を引き続き参照してしまうことで発生します。攻撃者がその解放済み領域を悪用することで、悪意のあるコードを実行したり、ブラウザをクラッシュさせたりする恐れがあります。

UAF脆弱性以外にも、Critical評価の問題として、DawnにおけるType Confusion(型混同)のCVE-2026-13776、iOSWebにおける入力検証不備のCVE-2026-13777、ANGLEのCVE-2026-13780、SkiaのCVE-2026-13781が含まれています。

Type Confusionは、コードがオブジェクトを本来とは異なる型として処理してしまう脆弱性です。メモリ破壊の欠陥と同様の手口で悪用され、リモートコード実行につながる可能性があります。

High(高)評価の修正が今回のパッチの大半を占めており、外部研究者から報告され高額の報奨金が支払われた脆弱性も複数含まれています。GPUにおけるUse-After-FreeのCVE-2026-13789を報告した研究者には36,000ドルの報奨金が支払われており、今回のリリースにおける最高額となっています。

その他の主なHigh評価の脆弱性としては、Scrollにおけるサイドチャネル情報漏えいのCVE-2026-13790(報奨金10,000ドル)、およびImpervaの研究者Ron Masas氏が報告したDownloadsにおける入力検証の不備CVE-2026-13791(同10,000ドル)があります。

また、Touchbar・Views・Blink・Canvas・IME・Import・Chromecastコンポーネントでも追加のHigh評価UAF脆弱性が発見されており、その多くはGoogleのセキュリティチームが社内で自ら発見したものです。

残りの修正はMedium(中)評価が中心で、Passkeys/セキュリティキー(WebAuthn)・WebHID・CustomTabs・位置情報・エンタープライズポリシーなどの領域における入力検証やポリシー適用の不備が対処されています。

外部から報告されたMedium評価の注目脆弱性としては、SpeechのCVE-2026-13856(報奨金8,000ドル)、GeometryのCVE-2026-13857(5,000ドル)、Theoriの研究者が発見したFFmpegにおける境界外読み取りのCVE-2026-13858(3,000ドル)があります。

1回のリリースで382件という修正は、Chromeの標準からしても異例の規模です。このことは、Use-After-FreeやType Confusionといったメモリ安全性の問題が、依然としてブラウザ攻撃研究の主要な課題であることを示しています。

ChromeのエンジンであるBlink/V8およびGPUスタック(ANGLE・Dawn・Skia)は、EdgeやBraveなどChromiumベースのブラウザでも共有されているため、これらの後継ブラウザでも近く対応パッチの提供が必要になると見られます。

Googleのセキュリティアドバイザリによると、悪意のあるWebページを通じたリモートコード実行を可能にするCritical評価のUAF脆弱性が複数存在するため、セキュリティチームおよびエンドユーザーは直ちにアップデートを適用することを優先するよう呼びかけています。

翻訳元: https://cyberpress.org/google-chrome-update/

ソース: cyberpress.org