Google Chrome 150アップデート、2件の重大なUse-After-Free脆弱性を含む15件のセキュリティ脆弱性を修正

Google Chrome version 150では、Ozone、Skia、V8、GPU、Media、UI、Navigation、libyuv、Linux Toolkit Themingなど、ブラウザの複数のコアコンポーネントに存在する脆弱性が修正されています。

今回のアップデートのうち、CVE-2026-15764CVE-2026-15765として識別される2件の重大な脆弱性は、Ozoneに存在するuse-after-free(解放済みメモリ使用)の問題です。Ozoneは、Chromeがさまざまなオペレーティングシステム上でグラフィックスやウィンドウシステムとの連携をサポートするためのプラットフォーム抽象化レイヤーとして機能しています。

Google Chrome 150アップデートの概要

Use-after-free脆弱性は、プログラムが解放済みのメモリに引き続きアクセスしてしまうことで発生し、悪用可能性や関連する緩和策の有無によっては、クラッシュ、情報漏えい、任意コード実行につながる可能性があります。

ペネトレーションテストサービス

さらに今回のリリースでは、121件の深刻度「高」の脆弱性も修正されています。これには、SkiaおよびV8における未初期化メモリの使用、libyuvにおけるヒープバッファオーバーフロー、GPU・Core・Skia・UIの各コンポーネントに影響する複数のuse-after-free脆弱性、さらにHTML-in-Canvas、V8、Media、Linux Toolkit Theming、Navigationに関連する検証不足やポリシー適用の不備が含まれます。

特に注目すべきは、ChromeのJavaScriptおよびWebAssemblyエンジンであるV8に存在する型混同(type confusion)のバグ、CVE-2026-15776です。型混同の欠陥は、悪意あるWebコンテンツが予期しないオブジェクト型の扱いを悪用してメモリを破壊し、セキュリティ境界を突破する恐れがあるため、ブラウザにおいては特に重大な問題となります。

Googleは大半の発見を社内研究者によるものとしていますが、社外の研究者からも複数の深刻度「高」のバグが報告されています。

MicrosoftのXinchaotian氏は、Chrome Coreにおけるuse-after-free脆弱性であるCVE-2026-15773を報告しました。また、Serotavとしても知られるSalvatore Gulizia氏は、V8における型混同の問題(CVE-2026-15776)を報告しています。さらに、[email protected]のメールアドレスを使用する研究者は、V8におけるポリシー適用不備に関わるCVE-2026-15775を報告しました。社外から報告された複数の問題については、報奨金額はまだ未定(TBD)となっています。

Googleは、大多数のユーザーがブラウザを更新するまでの間、バグレポートやエクスプロイトに関連する技術的詳細へのアクセスを引き続き制限する可能性があると述べています。この対応により、脅威アクターが公開された脆弱性情報を悪用し、未パッチのChromeユーザーを迅速に攻撃対象とすることを防ぐ狙いがあります。

さらにGoogleは、自社のセキュリティテストパイプラインにおいて、AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer、AFLといったメモリ安全性検証・ファジングツールを使用していることにも言及しています。

ユーザーは、設定→Chromeについてに移動し、ブラウザにアップデートをダウンロードさせてから再起動することで、手動で更新版を確認できます。

企業の管理者は、特にChromeが企業向けアプリケーション、メール、クラウドサービス、機密性の高いWebリソースへのアクセスに使用されている環境において、管理下にあるWindows、macOS、Linuxの各エンドポイントへのアップデート展開を優先すべきです。

Chrome 150のセキュリティ修正一覧

CVE 深刻度 脆弱性 コンポーネント 報告者 報告日
CVE-2026-15764 重大 Use-after-free Ozone Google 2026年5月27日
CVE-2026-15765 重大 Use-after-free Ozone Google 2026年5月29日
CVE-2026-15766 未初期化メモリの使用 Skia Google 2026年5月17日
CVE-2026-15767 ヒープバッファオーバーフロー libyuv Google 2026年5月19日
CVE-2026-15768 ポリシー適用の不備 HTML-in-Canvas Google 2026年5月29日
CVE-2026-15769 信頼できない入力の検証不足 Linux Toolkit Theming Google 2026年6月3日
CVE-2026-15770 未初期化メモリの使用 V8 Google 2026年6月17日
CVE-2026-15771 信頼できない入力の検証不足 Media Google 2026年6月18日
CVE-2026-15772 Use-after-free GPU Google 2026年6月18日
CVE-2026-15773 Use-after-free Core xinchaotian of Microsoft 2026年6月25日
CVE-2026-15774 Use-after-free Skia Google 2026年7月3日
CVE-2026-15775 ポリシー適用の不備 V8 External researcher 2026年7月5日
CVE-2026-15776 型混同 V8 Salvatore Gulizia (Serotav) 2026年7月8日
CVE-2026-15777 Use-after-free UI Google 2026年7月9日
CVE-2026-15778 信頼できない入力の検証不足 Navigation Google 2026年5月16日

復号されたフィッシングページを可視化し、調査を迅速化、認証情報窃取による損害を削減 -> ANY.RUNでSOCを強化

翻訳元: https://gbhackers.com/google-chrome-150-update-fixes-15-security-vulnerabilities/

ソース: gbhackers.com