Googleは2026年1月6日、WebViewに存在する高深刻度の脆弱性に対処するため、Chromeのバージョン143.0.7499.192および143.0.7499.193を公開しました。この脆弱性は、攻撃者が重要なセキュリティポリシーを回避し、侵害されたシステム上で不正な操作を実行できる可能性があります。
CVE-2026-0628として指定されたこの欠陥は、悪意あるコンテンツのブロックや不正なスクリプト実行の防止のためにWebViewのポリシー適用フレームワークに依存しているブラウザやアプリケーションを利用する数百万人のユーザーにとって、重大な脅威となります。
この脆弱性はWebViewタグ内のポリシー適用が不十分であることに起因します。WebViewは、Chrome、Androidアプリケーション、および数千のサードパーティアプリにわたってWebコンテンツを描画する基盤コンポーネントです。
セキュリティ専門家は、この脆弱性の影響がデスクトップブラウザをはるかに超えると警告しています。WebViewはAndroidエコシステムにおけるアプリ内ブラウジングの描画基盤として機能しているため、攻撃が成功すれば、複数のアプリケーションにまたがって同時にユーザーデータやシステムセキュリティが侵害される可能性があります。
この弱点を悪用することで、脅威アクターは、不要なスクリプト実行、不正なデータアクセス、その他WebViewのポリシーフレームワークが通常ブロックする悪意ある活動を防ぐためのセキュリティ制御を回避できる可能性があります。
セキュリティ研究者のGal Weizman氏は2025年11月23日にこの問題を最初に報告し、Googleは公開前にセキュリティパッチを開発・テスト・検証するための十分な時間を確保できました。
この協調的な情報公開のアプローチは、透明性の必要性と大規模な悪用を防ぐ要請のバランスを取りつつ、脆弱性管理における業界のベストプラクティスを体現しています。
このパッチは、今後数日から数週間にかけて、Windows、macOS、Linuxの各プラットフォームに段階的に展開されます。
Googleは、ほとんどのユーザーが修正をインストールするまで脆弱性に関する詳細な技術情報を意図的に制限しています。これは、パッチの適用が臨界点に達する前に脅威アクターが攻撃手法を武器化するのを防ぐための戦略です。
ユーザーは、設定 > Chromeについて に移動することでChromeのバージョンを確認し、直ちに更新を適用できます。これにより利用可能な更新の自動スキャンが開始されます。
更新後は、セキュリティパッチを有効化するためにブラウザを再起動する必要があります。複数のChromeインストールを管理する組織は、自社環境全体でこの更新を優先すべきです。
この脆弱性は、Web描画コンポーネントが多数のアプリケーションにまたがる重要インフラとして機能する現代のソフトウェアエコシステムに内在する、継続的なセキュリティ課題を浮き彫りにしています。
この事案は、パッチレベルを最新に保つ重要性を強調しています。セキュリティ更新の適用が遅れるほど、進行中の攻撃キャンペーンにさらされるリスクが大幅に増大します。
Googleの迅速な対応は、重大なセキュリティ問題に取り組む同社の姿勢を示していますが、セキュリティ専門家は、ソフトウェア更新を常に最新に保つことに勝る脆弱性対応のタイムラインはないと強調しています。
組織および個人ユーザーは、この更新を緊急のものとして扱い、システムがインストールを促したらできるだけ早く展開すべきです。
この事案は、セキュリティは到達点ではなく、継続的な警戒と積極的なパッチ管理を必要とする終わりのないプロセスであることを、改めて思い起こさせるものです。
翻訳元: https://cyberpress.org/google-high-severity-webview-vulnerability/