Googleは、安定版チャンネルにおいて、Windows、Mac、Linux向けにChrome 145.0.7632.45をリリースし、11件の重大なセキュリティ欠陥に対処しました。
2月10日に発表されたこのアップデートは、攻撃者がユーザーのデバイス上で悪意のあるコードを実行し、データを盗んだり、マルウェアをインストールしたりする可能性のある脆弱性にパッチを適用しています。
このロールアウトは、安定性を確保するため、数日から数週間かけて段階的に行われます。
これらの修正は、use-after-freeエラーやバッファオーバーフローなど、ハッカーがブラウザをクラッシュさせ、任意のコードを実行するために使用する一般的な手法である深刻な問題を対象としています。
例えば、CSS内のuse-after-free(CVE-2026-2313)は、ブラウザをだまして削除されたメモリにアクセスさせ、リモート攻撃への扉を開く可能性があります。
同様に、Codecs内のヒープバッファオーバーフロー(CVE-2026-2314)は、不正な形式のメディアファイルからのメモリ破損のリスクがあります。
WebGPUの欠陥(CVE-2026-2315)は、グラフィックス処理を悪用に晒し、その他の欠陥はフレーム、アニメーション、ファイル処理に影響を与えます。
Googleは、脆弱性報奨金プログラムを通じて研究者に21,500ドル以上を授与し、コミュニティの努力を強調しました。
深刻なバグが主流を占めており、Chromeのポリシーに従って、ほとんどのユーザーがアップデートするまで詳細は制限されています。AddressSanitizerやlibFuzzerなどのツールが、リリース前にこれらの検出に役立ちました。
ユーザーは、Chromeの「概要」メニュー(chrome://settings/help)から直ちにアップデートする必要があります。自動アップデートはデフォルトで有効になっていますが、手動チェックにより露出を防ぐことができます。企業は管理ポリシー経由でプッシュできます。
広範な悪用はまだ報告されていませんが、このようなゼロデイはフィッシングやドライブバイダウンロードを助長します。
このパッチは、脅威に対するChromeの迅速な対応を強調しています。詳細はChrome ReleasesブログおよびChromium Securityページに掲載されています。警戒を怠らず、今すぐアップデートしてコード実行のリスクをブロックしてください。
翻訳元: https://cyberpress.org/chrome-security-update-patches-vulnerabilities-2/