サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、Google Chromiumエンジンの重大なゼロデイ脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。
CVE-2026-2441として追跡されているこの欠陥は、実際の攻撃で積極的に悪用されています。CISAの対応は連邦政府機関に即座のパッチを要求し、すべての組織に対して潜在的な侵害をブロックするために同様に対応することを促しています。
ChromiumはGoogle Chromeおよびその他多くのブラウザを支えており、これは広範な脅威となります。攻撃者はこの欠陥をリモートコード実行に利用し、単純なウェブアクセスをシステム全体の侵害に変えています。
CVE-2026-2441はChromiumのCSSコンポーネントのUse-After-Free(UAF)脆弱性です。このメモリ破損エラーは、コードが解放されたメモリへのポインタにアクセスするときに発生し、ヒープの破損と未定義の動作を引き起こします。
リモート攻撃者は悪意のあるHTMLページを作成します。ユーザーがそれにアクセスすると、欠陥が発動します。搾取が成功すると、攻撃者は任意のコードを実行したり、データを盗んだり、ブラウザをクラッシュさせたりできます。
危険はChrome以外にも及びます。Chromiumエンジンを使用するすべてのブラウザ、すなわちMicrosoft Edge、Opera、Vivaldi、Braveが危険にさらされています。
一部のエンタープライズツールなど、組み込みChromiumを持つアプリでさえ影響を受ける可能性があります。セキュリティチームはエンドポイント全体のすべてのバージョンを監査する必要があります。
パッチが当たっていないシステムは、フィッシングやドライブバイダウンロードを通じた初期アクセスを求める脅威アクターの簡単な侵入口を提供します。
民間部門にとって強制ではありませんが、Chromiumブラウザが主流である企業環境では同じリスクに直面しています。
Googleはブラウザの安定チャネルバージョン122.0.6261.94以降でパッチをリリースしました。ユーザーはブラウザの設定またはエンタープライズ管理ツール経由で更新する必要があります。
Edgeの場合は、対応するMicrosoftの更新プログラムを適用してください。OperaやBraveなどのベンダーも修正をリリースしています。CSSスコア:8.8(高)、攻撃ベクトルはネットワークベースで複雑さは低いと評価されています。
公開概念実証はまだ存在しませんが、積極的な悪用が実世界での使用を確認しています。脅威アクターはこれをソーシャルエンジニアリングと組み合わせて高価値ユーザーを標的にしている可能性があります。
組織は自動更新を有効にし、UAFパターンのエンドポイント検出を展開し、異常なブラウザクラッシュを監視する必要があります。
初期の兆候としては、メモリダンプでのヒープスプレイや予期しないCSS レンダリングエラーが含まれます。侵害の指標(IOC)は限定的ですが、更新についてはCISAアラートを監視してください。
この脆弱性はChromiumの主要なターゲットとしての優位性を強調しています。迅速なパッチは悪用を減らします。
翻訳元: https://cyberpress.org/cisa-chromium-zero-day/