GoogleはChromeの緊急セキュリティアップデートをリリースし、Stableチャンネルの安定版をWindowsおよびmacOSではバージョン150.0.7871.114/.115に、Linuxではバージョン150.0.7871.114にそれぞれ更新しました。
今回のアップデートでは27件の脆弱性が修正されており、その中にはリモートコード実行につながる恐れのある複数の重大なuse-after-free(解放後使用)の欠陥も含まれています。アップデートは今後数日から数週間かけて段階的に展開される予定ですが、問題の深刻度を踏まえ、ユーザーには直ちにパッチを適用することが強く推奨されています。
Hacking& Cracking
Google Chrome、27件のセキュリティ脆弱性を修正
最も深刻な脆弱性は、OzoneにおけるCVE-2026-15112とViewsにおけるCVE-2026-15129で、いずれもuse-after-free条件に起因するものです。この種のメモリ破損バグは、攻撃者がブラウザのコンテキスト内で任意コードを実行するために悪用するケースが頻繁に見られます。
修正された欠陥の大半はHigh(重要)に分類されており、その多くはuse-after-freeエラー、未初期化メモリ、信頼できない入力に対する検証不足といった、メモリ安全性に関わる問題です。
影響を受けるコンポーネントには、V8、WebRTC、Autofill、Extensions、DOM処理といった中核的なブラウザサブシステムが含まれており、現代のブラウザが抱える攻撃対象領域の広さを物語っています。
さらに、Codecs、WebGLといったメディア処理コンポーネントや、Forms、Passwords、Navigationといったユーザー操作関連機能にも複数の脆弱性が見つかっており、特別に細工されたWebコンテンツを通じて悪用されるリスクが浮き彫りになっています。
セキュリティ研究者およびGoogle社内のチームは、2026年4月から6月にかけてこれらの問題を報告しており、外部からの報告者の一部はバグ報奨金を受け取っています。Googleは、悪用リスクを軽減するため、大多数のユーザーがアップデートを適用するまで、複数の脆弱性について詳細な技術情報の開示を制限しています。
また同社は、開発ライフサイクル全体を通じてこうした欠陥を特定するうえで、AddressSanitizer、MemorySanitizer、libFuzzer、AFLといった高度なファジングおよびメモリ安全性ツールの重要性も強調しています。
悪用の観点から見ると、use-after-free脆弱性は特に危険とされています。ヒープの破損を引き起こすために利用され得るためで、他のバグと組み合わされた場合、サンドボックスからの脱出やシステム全体の侵害につながる可能性があります。
主要なレンダリングコンポーネントやUIコンポーネントにこうした欠陥が複数存在することから、企業・個人を問わず、あらゆる利用環境でパッチ適用の緊急性が高まっています。Chromiumベースのブラウザを利用している組織は、パッチ管理を優先事項とし、可能な限り自動アップデートの強制適用を検討すべきです。
以下は、今回のリリースに含まれる公開済みCVEの一覧です。
| CVE ID | 深刻度 | 脆弱性の種類 | 影響を受けるコンポーネント | 報告者/組織 | 報奨金 |
|---|---|---|---|---|---|
| CVE-2026-15112 | Critical | Use-after-free | Ozone | N/A | |
| CVE-2026-15129 | Critical | Use-after-free | Views | N/A | |
| CVE-2026-15132 | High | Uninitialized use | V8 | Pierre Langlois, Arm | $500 |
| CVE-2026-15133 | High | Use-after-free | InterestGroups | Jihyeon Jeong (Compsec Lab, SNU / Research Intern) | $500 |
| CVE-2026-15108 | High | Integer overflow | Extensions API | N/A | |
| CVE-2026-15109 | High | Uninitialized use | ANGLE | N/A | |
| CVE-2026-15110 | High | Use-after-free | Extensions | N/A | |
| CVE-2026-15111 | High | Use-after-free | Views | N/A | |
| CVE-2026-15113 | High | Use-after-free | Autofill | N/A | |
| CVE-2026-15114 | High | Out-of-bounds read/write | Codecs | N/A | |
| CVE-2026-15115 | High | Insufficient validation of untrusted input | WebAppInstalls | N/A | |
| CVE-2026-15116 | High | Use-after-free | Actor | N/A | |
| CVE-2026-15117 | High | Use-after-free | Payments | N/A | |
| CVE-2026-15118 | High | Use-after-free | Input | N/A | |
| CVE-2026-15119 | High | Inappropriate implementation | GetUserMedia | N/A | |
| CVE-2026-15120 | High | Use-after-free | Core | N/A | |
| CVE-2026-15121 | High | Use-after-free | WebRTC | N/A | |
| CVE-2026-15122 | High | Insufficient validation of untrusted input | Codecs | N/A | |
| CVE-2026-15123 | High | Insufficient data validation | DOM | N/A | |
| CVE-2026-15124 | High | Insufficient policy enforcement | Passwords | N/A | |
| CVE-2026-15125 | High | Inappropriate implementation | Forms | N/A | |
| CVE-2026-15126 | High | Use-after-free | Forms | N/A | |
| CVE-2026-15127 | High | Inappropriate implementation | WebGL | N/A | |
| CVE-2026-15128 | High | Inappropriate implementation | Forms | N/A | |
| CVE-2026-15130 | High | Insufficient policy enforcement | Navigation | N/A | |
| CVE-2026-15107 | Medium | Use-after-free | IndexedDB | zh1x1an1221, Ant Group Tianqiong Security Lab | $2000 |
| CVE-2026-15131 | Medium | Insufficient data validation | Navigation | N/A |
Windows、Linux、macOSの仮想マシン上でサイバー脅威を実際に操作し、攻撃チェーン全体を再現 - ANY RUNでマルウェアとフィッシングを分析
ComputerSecurity
翻訳元: https://gbhackers.com/google-chrome-update-patches-27-security-vulnerabilities/