GoogleはWindows、macOS、Linux向けにChrome 144.0.7559.96および144.0.7559.97をリリースし、V8 JavaScriptエンジンにおける重大なセキュリティ欠陥に対処しました。
2026年1月20日に段階的な提供が開始されたこのアップデートでは、ブラウザの中核レンダリングエンジンを攻撃者が悪用できる可能性がある競合状態の脆弱性CVE-2026-1220が修正されています。
CVE-2026-1220として指定されたこのセキュリティ欠陥は、Webコードを実行するChromeのJavaScript エンジンであるV8における高深刻度の競合状態です。
競合状態は、複数のプロセスが適切な同期なしに共有リソースへ同時にアクセスすることで発生し、攻撃者がメモリ状態を操作して任意のコードを実行できる可能性があります。
この脆弱性は、セキュリティ研究者@p1nky4745により2026年1月7日に独自に発見され、報告されました。
V8における競合状態の脆弱性は、世界中のユーザーに重大なリスクをもたらします。攻撃者は悪意のあるWebサイトを作成し、脆弱なChrome環境でそれを閲覧させることで、この欠陥を悪用してブラウザのサンドボックス内で不正なコード実行を得る可能性があります。
これにより、認証情報の窃取、マルウェアのインストール、または機密性の高いユーザーデータへの不正アクセス につながる恐れがあります。
V8は複数のプラットフォームやアプリケーションで広く使用されているため、この脆弱性の修正はGoogleのセキュリティチームによって優先されました。
Googleはサービスの中断を防ぐため、ユーザーベースに対してChrome 144を段階的に展開しています。WindowsおよびmacOSユーザーには144.0.7559.96または144.0.7559.97が提供され、Linuxユーザーには144.0.7559.96が提供されます。
この段階的な展開手法により安定性を確保しつつ、更新プロセス中に予期しない問題がないかをGoogleが監視できるようになります。ユーザーはChromeの設定メニューの「Google Chromeについて」から手動で更新を確認できます。
この脆弱性は、AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizerといった、コード内のメモリ安全性の問題や未定義動作を検出するツールを含むGoogleの高度なセキュリティテスト基盤を用いて特定されました。
この多層的なアプローチは、セキュリティ欠陥がユーザーに届くのを防ぐというGoogleの取り組みを示しています。
ユーザーには、地域で利用可能になり次第、できるだけ早くChromeを更新することが強く推奨されます。複数のChromeインストールを管理する組織は、バージョン144以降の展開を優先すべきです。
潜在的な悪用を防ぐため、過半数のユーザーが更新を完了するまでバグの詳細は制限されたままとなります。
更新後に問題が発生したユーザーは、Chromeの公式バグ報告システムまたはコミュニティのヘルプフォーラムを通じて問題を報告できます。
翻訳元: https://cyberpress.org/google-chrome-144-update/