攻撃者がブラウザの2026年初のゼロデイを悪用していることが判明した後、Googleは緊急のChrome修正を静かに公開しました。
CVE-2026-2441として追跡されている脆弱性は、「高」CVSS スコア 8.8 が割り当てられており、Chrome の CSS 処理における使用後解放(use-after-free)バグが原因です。特別に細工された HTML ページを使用して、リモート攻撃者がブラウザのサンドボックス内で任意のコードを実行できる可能性があります。つまり、不正な Web ページだけで、攻撃者が被害者のブラウザ内で悪意のあるコードを実行するために必要なすべてになる可能性があります。
予想どおり、Google は Windows および Mac 向けバージョン 145.0.7632.75、Linux 向けバージョン 144.0.7559.75 の Chrome の 修正をすぐにリリースしており、Chocolate Factory は「今後数日から数週間でロールアウトされる」と述べています。
セキュリティ研究者の Shaheen Fazim は 2 月 11 日に脆弱性を報告し、Google は 2 日後に攻撃者がすでにそれを悪用していることを認めました。ただし、詳細については口を閉ざしています。同社は、攻撃が標的化されたものであるか、より広範な悪用キャンペーンの一部であるかについては述べていません。ただし、脆弱性は修正が準備される前に悪用されていたということだけです。
「Google は CVE-2026-2441 の悪用が野生下に存在することを認識しています」と、セキュリティアドバイザリーで述べられています。
Google は、バグに関する詳細情報へのアクセスは、ほとんどのユーザーがパッチされるまで、およびサードパーティの依存関係が関与している場合はさらに長期間、非公開のままであると述べました。これは、他のユーザーがバグを迅速に兵器化するのを防ぐことを目的とした標準的な動きです。
もしこれがすべて少し見覚えがあるように感じるなら、それはそうです。Google は昨年の大部分を積極的に悪用されている Chrome バグ対応で費やし、最終的に 2025 年にわたって 8 つのゼロデイにパッチを適用しました。
修正は、研究者が少なくとも 287 の Chrome 拡張機能が、数千万のインストール数を持つとともに、ユーザーのブラウジング履歴を外部の多くの受信者に静かに流していることを明らかにしてから数日後に公開されました。これはデータがソフトウェアの欠陥だけでなく、ブラウザに組み込まれている広大なエコシステムを通じてリークできるという便利なリマインダーです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/16/chromes_zeroday/
