- GoogleがChromeのゼロデイ脆弱性CVE-2026-2441(CSSの「Use After Free」バグ)を修正
- 不正なHTMLページを通じた任意のコード実行を可能にする脆弱性が、実際に野放しで悪用されている
- 保護を維持するため、Chrome 145.0.7632.75/76(Windows/Mac)または144.0.7559.75(Linux)に更新してください
Googleは、野放しのゼロデイとして利用されていたと見られるChromeブラウザの高度な深刻度の脆弱性を修正しました。
セキュリティ勧告の中で、Googleはがクリーンアップ「Google Chromeバージョン145.0.7632.75より前のCSSのUse After Free」CVE-2026-2441を対処したと述べました。深刻度スコア8.3/10(高)が付与されたこのバグにより、脅威アクターは不正なHTMLページを通じてサンドボックス内で任意のコードを実行できます。
通常、GoogleはすべてのChrome更新を自動的にプッシュするため、自動更新を無効にしていない場合は、ブラウザを再起動して、WindowsおよびMacOSではバージョン145.0.7632.75/76、Linuxではバージョン144.0.7559.75が実行されていることを確認してください。
2026年初のゼロデイ
自動更新を無効にしている場合は、Chromeを開いて右上隅の3つのドットをクリックし、ヘルプ – Google Chromeについてに移動してください。このページでは、ブラウザが自動的に更新をチェックしはじめ、ダウンロードして再起動するよう促します。
バグが積極的に悪用されているため、できるだけ早く修正を適用してください。
「Googleは、CVE-2026-2441のエクスプロイトが野放しで存在することを認識しています。」Googleはセキュリティ勧告の中で述べました。被害者が誰であったか、バグがどのように利用されたか、または攻撃者が誰であるかについては述べませんでした。ブラウザの大多数が修正されるまでこの情報を意識的に差し控えていると述べており、他の脅威アクターに利点を与えないようにするためです。
BleepingComputerによると、これは今年の開始以来修正された最初の積極的に悪用されるChrome脆弱性です。この出版物はまた、同社が昨年8つのゼロデイを修正したこと、その多くは国家が支援する脅威アクターによって利用されたことを強調しました。
米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)はまだ、この既知の悪用される脆弱性のカタログに本バグを追加していません。
