Googleは、Background Fetch APIに影響する重大度の高いセキュリティ欠陥に対処するため、Chromeブラウザの安定版(Stable)チャネル更新を正式にリリースしました。
この更新により、ブラウザのバージョンはWindowsおよびmacOSで 144.0.7559.109/.110 、Linuxユーザー向けには 144.0.7559.109 となります。
このリリースは現在、世界中のユーザーに向けて順次展開されています。外部研究者によって提供された、特定のセキュリティ修正が1件含まれています。
今回の更新の焦点は CVE-2026-1504 で、「Background Fetch APIにおける不適切な実装(Inappropriate implementation in Background Fetch API)」と説明される重大度の高い脆弱性です。
Background Fetch APIは現代のWebアプリケーションにとって重要なコンポーネントであり、開発者が大容量のダウンロードやアップロード(映画や音声ファイルなど)をバックグラウンドで処理できるようにします。
これにより、ユーザーがブラウザを閉じた場合でも、あるいはアプリケーションが転送を管理するためにサービスワーカーを作成した場合でも、これらの処理が継続されることが保証されます。
この脆弱性は、ChromeがこのAPIのロジックやセキュリティ境界を実装する方法に欠陥があることを示しています。
Googleは脅威アクターによる悪用を防ぐため、具体的なエクスプロイトチェーンを公開していませんが、「不適切な実装」は
通常、APIが操作されてセキュリティチェックを回避できる可能性があることを示唆しており、バックグラウンド転送中に不正なデータ処理や状態の混乱(ステートコンフュージョン)を引き起こす恐れがあります。
セキュリティ研究者はこの問題を2026年1月9日に報告しました。開示およびその後のパッチ検証を経て、Googleはこの発見に対して 3,000ドル の報奨金を授与しました。
標準的なセキュリティプロトコルに従い、Googleはユーザーベースの大半が修正を適用するまで、バグの詳細およびリンクへのアクセスを制限しています。
この遅延は、組織や個人がブラウザを保護する時間を確保する前に、ハッカーがパッチをリバースエンジニアリングしてエクスプロイトを作成するのを防ぐために不可欠です。
この制限は、バグが他のプロジェクトが依存するサードパーティライブラリに存在する場合にも適用されます。
ただし、CVE-2026-1504は外部で発見されました。ユーザーは、ブラウザメニューの ヘルプ > Google Chromeについて に移動して、手動で更新を確認することが推奨されます。
ブラウザが更新を確認し、バージョン144.0.7559.109/110をインストールするための再起動を促します。
翻訳元: https://cyberpress.org/chrome-security-update-background-fetch-api-vulnerability/