Googleは、ユーザーを深刻なリスクにさらす可能性のある3つの高深刻度の脆弱性に対処する、Chrome ブラウザの緊急セキュリティアップデートをリリースしました。
このパッチはWindows、Mac、およびLinuxプラットフォームを対象とし、システムセキュリティとユーザーデータを脅かす欠陥を修正します。
迅速なロールアウトは、リモートコード実行およびデータ漏洩などの高度な脅威に対抗するためにブラウザメーカーが受ける絶え間ない圧力を反映しています。
Chromeの安定チャネルはWindowsとMacの場合、バージョン145.0.7632.116/117に達し、Linuxユーザーは144.0.7559.116を取得しています。
Googleのリリースノートに記載されているように、アップデートは数日から数週間にわたって段階的にロールアウトされます。ユーザーはブラウザを再起動し、安全を保つためにすぐにアップデートを確認する必要があります。
これらの脆弱性は、膨大なユーザーベースを考えると、攻撃者の主要な標的としてのChromeの役割を浮き彫りにします。
パッチの遅延は、野外での悪用を可能にし、マルウェア感染または盗まれた認証情報につながる可能性があります。
Googleの積極的なスタンスは、ゼロデイの欠陥がパッチが出る前に浮上することが多い業界トレンドと一致しています。
アップデートは3つの高深刻度の問題に対処し、それぞれが悪用される可能性があります。まず、CVE-2026-3061はメディアコンポーネントの範囲外読み込みです。
このエラーは、コードが割り当てられたバッファを超えたメモリにアクセスするときに発生し、クラッシュまたは隣接するデータからの情報漏洩のリスクがあります。レポーターのLuke Francisが指摘し、攻撃者が機密メモリをダンプするシナリオを防ぎました。
次に、CVE-2026-3062は、Chromeのシェーダー翻訳エンジンであるTintの範囲外読み書き欠陥を組み合わせたものです。
読み込みはデータを公開しますが、書き込みはメモリの破損を可能にします。攻撃者はコードを上書きして任意のコマンドを実行し、ブラウザとシステムをハイジャックできます。
3番目に、CVE-2026-3063は、ブラウザのデバッグスイートであるDevToolsの不適切な実装に由来しています。
ここの欠陥のあるロジックにより、サイトはサンドボックスの制限を回避し、セッショントークンを盗み、または開発者ツールを改ざんできる可能性があります。M. Fauzan Wijaya(Gh05t666nero)が報告し、プロと一般ユーザーの両方へのリスクを回避しました。
Googleはほとんどのユーザーが更新するまで悪用の詳細を控え、脅威行為者による逆エンジニアリングを阻止します。この「責任ある情報開示」は防御のための時間を稼ぎます。
同社はこれらの独立した研究者に信用を与え、ソフトウェアの強化におけるバグ報奨金の役割を強調しています。
更新するには、chrome://settings/helpに移動するか、プラットフォームの自動更新を使用してください。企業はGoogle更新ポリシーなどのツールを使用してフリートをスキャンする必要があります。
Chromeの市場支配力により、これらのパッチは何十億もの人々をフィッシングからRCEキルチェーンから保護します。警戒を続けてください。さらに多くの更新が毎月続きます。
翻訳元: https://cyberpress.org/google-rushes-emergency-chrome-update/