Google ChromeがCritical(緊急)のUse-After-Freeの欠陥を含む27件のセキュリティ脆弱性を修正

GoogleはChromeの緊急セキュリティアップデートをリリースし、Stableチャンネルの安定版をWindowsおよびmacOSではバージョン150.0.7871.114/.115に、Linuxではバージョン150.0.7871.114にそれぞれ更新しました。

今回のアップデートでは27件の脆弱性が修正されており、その中にはリモートコード実行につながる恐れのある複数の重大なuse-after-free(解放後使用)の欠陥も含まれています。アップデートは今後数日から数週間かけて段階的に展開される予定ですが、問題の深刻度を踏まえ、ユーザーには直ちにパッチを適用することが強く推奨されています。

Hacking& Cracking

Google Chrome、27件のセキュリティ脆弱性を修正

最も深刻な脆弱性は、OzoneにおけるCVE-2026-15112とViewsにおけるCVE-2026-15129で、いずれもuse-after-free条件に起因するものです。この種のメモリ破損バグは、攻撃者がブラウザのコンテキスト内で任意コードを実行するために悪用するケースが頻繁に見られます。

修正された欠陥の大半はHigh(重要)に分類されており、その多くはuse-after-freeエラー、未初期化メモリ、信頼できない入力に対する検証不足といった、メモリ安全性に関わる問題です。

影響を受けるコンポーネントには、V8、WebRTC、Autofill、Extensions、DOM処理といった中核的なブラウザサブシステムが含まれており、現代のブラウザが抱える攻撃対象領域の広さを物語っています。

さらに、Codecs、WebGLといったメディア処理コンポーネントや、Forms、Passwords、Navigationといったユーザー操作関連機能にも複数の脆弱性が見つかっており、特別に細工されたWebコンテンツを通じて悪用されるリスクが浮き彫りになっています。

セキュリティ研究者およびGoogle社内のチームは、2026年4月から6月にかけてこれらの問題を報告しており、外部からの報告者の一部はバグ報奨金を受け取っています。Googleは、悪用リスクを軽減するため、大多数のユーザーがアップデートを適用するまで、複数の脆弱性について詳細な技術情報の開示を制限しています。

また同社は、開発ライフサイクル全体を通じてこうした欠陥を特定するうえで、AddressSanitizer、MemorySanitizer、libFuzzer、AFLといった高度なファジングおよびメモリ安全性ツールの重要性も強調しています。

悪用の観点から見ると、use-after-free脆弱性は特に危険とされています。ヒープの破損を引き起こすために利用され得るためで、他のバグと組み合わされた場合、サンドボックスからの脱出やシステム全体の侵害につながる可能性があります。

主要なレンダリングコンポーネントやUIコンポーネントにこうした欠陥が複数存在することから、企業・個人を問わず、あらゆる利用環境でパッチ適用の緊急性が高まっています。Chromiumベースのブラウザを利用している組織は、パッチ管理を優先事項とし、可能な限り自動アップデートの強制適用を検討すべきです。

以下は、今回のリリースに含まれる公開済みCVEの一覧です。

CVE ID 深刻度 脆弱性の種類 影響を受けるコンポーネント 報告者/組織 報奨金
CVE-2026-15112 Critical Use-after-free Ozone Google N/A
CVE-2026-15129 Critical Use-after-free Views Google N/A
CVE-2026-15132 High Uninitialized use V8 Pierre Langlois, Arm $500
CVE-2026-15133 High Use-after-free InterestGroups Jihyeon Jeong (Compsec Lab, SNU / Research Intern) $500
CVE-2026-15108 High Integer overflow Extensions API Google N/A
CVE-2026-15109 High Uninitialized use ANGLE Google N/A
CVE-2026-15110 High Use-after-free Extensions Google N/A
CVE-2026-15111 High Use-after-free Views Google N/A
CVE-2026-15113 High Use-after-free Autofill Google N/A
CVE-2026-15114 High Out-of-bounds read/write Codecs Google N/A
CVE-2026-15115 High Insufficient validation of untrusted input WebAppInstalls Google N/A
CVE-2026-15116 High Use-after-free Actor Google N/A
CVE-2026-15117 High Use-after-free Payments Google N/A
CVE-2026-15118 High Use-after-free Input Google N/A
CVE-2026-15119 High Inappropriate implementation GetUserMedia Google N/A
CVE-2026-15120 High Use-after-free Core Google N/A
CVE-2026-15121 High Use-after-free WebRTC Google N/A
CVE-2026-15122 High Insufficient validation of untrusted input Codecs Google N/A
CVE-2026-15123 High Insufficient data validation DOM Google N/A
CVE-2026-15124 High Insufficient policy enforcement Passwords Google N/A
CVE-2026-15125 High Inappropriate implementation Forms Google N/A
CVE-2026-15126 High Use-after-free Forms Google N/A
CVE-2026-15127 High Inappropriate implementation WebGL Google N/A
CVE-2026-15128 High Inappropriate implementation Forms Google N/A
CVE-2026-15130 High Insufficient policy enforcement Navigation Google N/A
CVE-2026-15107 Medium Use-after-free IndexedDB zh1x1an1221, Ant Group Tianqiong Security Lab $2000
CVE-2026-15131 Medium Insufficient data validation Navigation Google N/A

Windows、Linux、macOSの仮想マシン上でサイバー脅威を実際に操作し、攻撃チェーン全体を再現 - ANY RUNでマルウェアとフィッシングを分析

ComputerSecurity

翻訳元: https://gbhackers.com/google-chrome-update-patches-27-security-vulnerabilities/

ソース: gbhackers.com