Google Chromeのアップデートで15件のセキュリティ脆弱性を修正、Ozoneの深刻な解放後使用の欠陥も対応

Googleは新たなChrome安定版チャンネルのアップデートを公開し、Ozoneプラットフォームレイヤーにおける2件の緊急度「Critical」の解放後使用(UAF)脆弱性を含む、合計15件のセキュリティ脆弱性に対処しました。

今回のアップデートにより、ChromeはWindowsおよびMac向けにバージョン150.0.7871.124/.125、Linux向けに150.0.7871.124となります。ロールアウトは今後数日から数週間にわたって継続される見込みです。

今回のリリースで修正された脆弱性のうち最も深刻なのは、CVE-2026-15764およびCVE-2026-15765です。いずれもOzone(Chromeがプラットフォーム固有のウィンドウ処理やグラフィックス操作を抽象化するレイヤー)における解放後使用の脆弱性です。

Ozoneにおける解放後使用のバグは特に危険です。メモリ破損につながる可能性があり、他の脆弱性と組み合わせて悪用された場合、攻撃者がリモートコード実行やサンドボックスエスケープを達成する恐れがあります。

今回のアップデートでは、複数のChromeコンポーネントにまたがる緊急度「High」の脆弱性12件も修正されています。

特筆すべきは、今回のリリースでV8だけで緊急度「High」の修正が3件を占めている点です。これはこのJavaScriptエンジンが依然としてエクスプロイト開発における価値の高い標的であり続けていることを裏付けています。

緊急度「Medium」の脆弱性1件、CVE-2026-15778は、Chromeのナビゲーションコンポーネントにおける検証不足に関するもので、今回の公開リストを締めくくっています。

解放後使用や型の混同に関する脆弱性は、ブラウザセキュリティにおいて依然として最も悪用されやすいバグの分類に含まれており、標的型攻撃やドライブバイ侵害キャンペーンで使われるエクスプロイトチェーンの根幹を成すことが頻繁にあります。

Googleは、大多数のユーザーが修正済みビルドを受け取るまで、複数の項目について技術的詳細やバグへのリンクの公開を引き続き控えています。これは、パッチの適用が一定の水準に達する前に実際の悪用が広がるのを防ぐための標準的な措置です。

Googleのアドバイザリによると、ユーザーは「設定」から「Chromeについて」に進み、Chromeのインストールがバージョン150.0.7871.124/.125に更新されていることを確認したうえで、ブラウザを再起動してパッチを適用する必要があります。

Ozoneに緊急度「Critical」のUAF脆弱性が存在することを踏まえると、このアップデートの適用を先延ばしにすることは、システムをメモリ破損エクスプロイトの潜在的なリスクにさらし続けることを意味します。

SOCに、確信を持って行動するためのインテリジェンスを。
ANY.RUNのThreat Intelligence Feedsで、ノイズを減らし運用効率を高めましょう。

翻訳元: https://cyberpress.org/google-chrome-update-fixes-15-security-flaws/

ソース: cyberpress.org