Google Chromeは安定版チャネルでバージョン144へと到達し、インストールの必要性が新機能と同じくらい強固なセキュリティに根差した更新となりました。GoogleのエンジニアリングチームはWindows、macOS、Linux各プラットフォームで本リリースの展開を開始しており、今後数日で世界のユーザーに向けて段階的にロールアウトされます。
安定版チャネルには、Linux向けに144.0.7559.59、WindowsおよびMac向けに144.0.7559.59/60のビルドが提供されています。慣例どおり、この更新には一連の改良とシステム面の強化が組み込まれており、その詳細は公式の変更ログに網羅されています。Googleはさらに、バージョン144に内在する重要なアーキテクチャ変更と機能についての包括的な解説を、今後のChromeおよびChromiumの開発者ブログ記事で公開すると示唆しました。
このリリースの要は防御の強化です。Chrome 144は10件の異なる脆弱性を修正します。Googleは戦略的な沈黙という方針を明確に維持し、ユーザーの大多数が保護されるまで一部のバグの詳細を一時的に伏せています。これは、特に欠陥が共有のサードパーティライブラリに存在する場合に、大規模なパッチ適用が完了する前に攻撃者がこれらの悪用手段を武器化しようとするのを阻むための意図的な措置です。
重大な修正の中でも目立つのは、V8およびBlinkエンジンで特定された問題です。具体的には、V8 JavaScriptエンジンにおける境界外メモリアクセスの脆弱性であるCVE-2026-0899が無力化され、発見した研究者には8,000ドルの報奨金が支払われました。さらに2件の脆弱性、CVE-2026-0900とCVE-2026-0901も対処されました。前者はV8に関するもので、後者はBlinkに影響し、2021年10月の初回発見以来潜在したままだった可能性があります。
中程度の深刻度の脆弱性は、主としてコードとデータの複雑な処理に関わります。V8における不適切な実装と位置づけられたCVE-2026-0902では、発見者に4,000ドルの報酬が支払われました。CVE-2026-0903はダウンロード機構における信頼できない入力の検証不足に関するもので、Azurとして知られる研究者に3,000ドルの報奨金が支給されました。さらに、CVE-2026-0904はデジタル資格情報(Digital Credentials)機能におけるセキュリティUI要素の表示の欠陥に対処し、CVE-2026-0905はネットワーキングコンポーネントにおけるポリシー適用の不備を修正します。
深刻度が低いと評価された脆弱性も複数排除されました。主に、ユーザーを誤解させる可能性のあるセキュリティインターフェースに関するものに加え、ANGLEにおける「use-after-free」欠陥(CVE-2026-0908)も含まれます。Googleは、これらの欠陥が安定版の本番環境に到達するのを防いだ外部研究者の警戒に深い感謝を示しました。また同社は、これらの欠陥の相当部分が、AddressSanitizer、MemorySanitizer、そしてAFLのような各種高度なファジングツールを含む洗練された自動計測によって特定されていることをコミュニティに改めて伝えました。
自動更新を有効にしている場合、Chromeは新しいバージョンへシームレスに移行します。しかし手動での対応を好むユーザーには、これらのパッチがブラウザの最も重要な構造要素を強化するものであることから、更新の即時確認が強く推奨されます。
翻訳元: https://meterpreter.org/chrome-144-arrives-with-10-urgent-security-patches/
