Googleは、Chromeの高度な深刻度のゼロデイ脆弱性を緊急にパッチし、野生での積極的な利用を確認しました。
2026年2月13日、安定チャンネルはWindowsおよびMac用のバージョン145.0.7632.75/76、Linux用の144.0.7559.75へのアップデートをロールアウトしました。
この修正はCVE-2026-2441に対処します。これはCSSコンポーネント内のuse-after-free欠陥であり、セキュリティ研究者Shaheen Fazimがわずか2日前の2月11日に報告しました。
Googleはこのバグをターゲットとする悪用が存在することを明確に述べており、リスクを軽減するため直ちにアップデートするよう利用者に促しています。
この脆弱性は、解放されたCSSオブジェクトが割り当て解除後にアクセスされるメモリ破損問題に由来し、潜在的に任意のコード実行を可能にします。
攻撃者は悪意のあるウェブページを通じてこれを利用し、ユーザーを侵害されたサイトへのアクセスに誘い込む可能性があります。
ゼロデイとして、Fazimの報告までは検出を回避し、現代の脅威行為者のペースを浮き彫りにしました。
Chromeのアップデートログは145.0.7632.67からの変更を詳述し、ほとんどのユーザーがパッチを適用するまでバグアクセスが制限されています。これは2026年安定チャンネルにおけるChromeの初の悪用されたゼロデイです。
マルウェアハッシュや攻撃者IPなどの具体的なIOCはまだ公開されていませんが、CISAおよびMicrosoftセキュリティチームは関連キャンペーンを監視しています。
エンタープライズは、グループポリシー経由での自動アップデートを優先し、古いバージョンのChromeのインスタンスをスキャンする必要があります。
検出はAddressSanitizerなどのメモリサニタイザーに依存し、Googleは多くの事前安定修正でこれを評価しています。
このインシデントは、Googleウェブブラウザの脅威行為者による積極的利用中のゼロデイ欠陥として、世界のブラウザシェアの65%以上を保有する、ターゲットとしてのChromeの優位性を強調し、ドライブバイ攻撃に最適なものにしています。
Googleはサードパーティライブラリ依存関係についてのポリシーの下、バグの詳細を保有しています。
Chromeのヘルプ > バージョン情報メニューからアップデートしてください。Linuxの管理者向けには、パッケージマネージャーを通じて確認してください。正当なサイトをなりすましたフィッシング誘導に対して警戒を続けてください。
翻訳元: https://cyberpress.org/google-chrome-zero-day-flaw/