Googleは2026年1月6日、重要なセキュリティポリシーを回避できる可能性のあるWebViewの高深刻度脆弱性を修正するため、Chrome 143.0.7499.192/.193をリリースしました。
CVE-2026-0628として追跡されているこの欠陥は、WebViewのポリシー適用フレームワークに依存して悪意のあるコンテンツをブロックしているブラウザのユーザーにとって、重大な脅威となります。
| 属性 | 詳細 |
|---|---|
| CVE ID | CVE-2026-0628 |
| 深刻度 | 高 |
| コンポーネント | Chrome WebView |
| 脆弱性の種類 | 不十分なポリシー適用 |
この脆弱性はWebViewタグにおけるポリシー適用の不備に起因しており、WebViewはChromeや多くのAndroidアプリケーションがWebコンテンツを表示するために使用する重要なコンポーネントです。
この弱点を悪用することで、攻撃者は不要なスクリプト実行やデータアクセスなどの不正な行為を防ぐために設計されたセキュリティ制御を回避できる可能性があります。
WebViewは、数千のアプリケーションにおけるWebコンテンツ描画の基盤として機能しています。このコンポーネントでセキュリティポリシーが機能しない場合、その影響はブラウザにとどまらず、アプリ内ブラウジングにWebViewを使用するあらゆるアプリに及びます。
このパッチは、Chromeを実行しているWindows、macOS、Linuxのユーザーに影響します。更新は今後数日から数週間かけて段階的に展開されます。
Googleは、大多数のユーザーが修正をインストールするまで脆弱性に関する詳細情報を制限しており、パッチの普及が臨界点に達する前に悪意ある者がエクスプロイトを武器化するのを防いでいます。
セキュリティ研究者のGal Weizmanは、2025年11月23日にこの問題を報告しました。これにより、Googleは公開前に修正の開発とテストを行う時間を確保できました。案内が表示されたら、Chrome 143.0.7499.192/.193を直ちにインストールしてください。
ユーザーは、設定 > Chromeについて に移動することで手動で更新を確認でき、利用可能な更新の自動スキャンが開始されます。更新後、セキュリティパッチを有効化するためにブラウザを再起動してください。
この脆弱性は、セキュリティ研究者と脅威アクターの間で続く「いたちごっこ」を浮き彫りにしています。
Googleが迅速なパッチ適用に取り組んでいることは、ソフトウェアを最新の状態に保つ重要性を示しています。更新の遅れは、エクスプロイト攻撃への露出を大幅に増加させます。
翻訳元: https://gbhackers.com/google-warns-of-high-risk-webview-vulnerability/
