Googleは2つの重大なゼロデイ脆弱性に対処するため、Chromeデスクトップブラウザの緊急セキュリティ更新をリリースしました。
CVE-2026-3909およびCVE-2026-3910として追跡されている両方の欠陥は高度な重大度に分類され、攻撃者によってワイルド環境で積極的に悪用されていることが確認されています。
ユーザーは潜在的な悪意あるコード実行とシステム侵害から保護するため、ブラウザを直ちに更新することを強く勧められています。
脆弱性の技術的詳細
2026年3月12日のStableチャネル更新は、2026年3月10日にGoogleの内部チームによって発見された2つの重大なセキュリティ欠陥を具体的に解決しています。
最初の脆弱性であるCVE-2026-3909は、Skiaに位置する「境界外書き込み」欠陥です。Skiaはオープンソースの2Dグラフィックスライブラリであり、Chromeのコアグラフィックスエンジンとして機能します。
境界外書き込みは、プログラムが割り当てられたメモリバッファの意図された境界を超えてデータを書き込む場合に発生します。
攻撃者はこのメモリ破損を悪用して、ブラウザをクラッシュさせたり、被害者のデバイスで任意の悪意あるコードを実行したりできます。
2番目の脆弱性であるCVE-2026-3910は、V8における「不適切な実装」です。V8はブラウザを駆動する高性能JavaScriptおよびWebAssemblyエンジンです。
このような重要なコンポーネントに実装の欠陥が存在する場合、脅威アクターがセキュリティサンドボックスをバイパスし、ブラウザのメモリを操作し、バックグラウンドで承認されていないスクリプトを密かに実行することが可能になることがよくあります。
Googleは、CVE-2026-3909とCVE-2026-3910の両方の悪用コードが現在ワイルド環境に存在することを明示的に認めています。
これは、サイバー犯罪者または国家支援型の脅威アクターが現実の攻撃キャンペーンでこれらの脆弱性を積極的に利用していることを確認しています。
ユーザーを特別に作成された悪意あるウェブサイトへアクセスするようにだまして、攻撃者は被害者からの追加のインタラクションを必要とせずにこれらの欠陥をトリガーできます。
さらなる悪用を防ぐため、Googleはユーザーベースの大多数がセキュアなバージョンへ正常にアップデートするまで、これらのバグの正確な技術的詳細へのアクセスを意図的に制限しています。
パッチ適用と緩和戦略
ユーザーとシステム管理者は、ネットワーク環境を保護するために最新のパッチの適用を優先しなければなりません。修正されたバージョンは段階的にロールアウトされています。
これらの脅威を緩和するために、次のアップデートを確認して適用してください:
- WindowsおよびMacユーザーは、Chromeバージョン146.0.7680.75または146.0.7680.76にアップデートする必要があります。
- Linuxユーザーは、Chromeバージョン146.0.7680.75にアップデートする必要があります。
- Microsoft EdgeやBrave、Vivaldiなどの他のChromiumベースのブラウザのユーザーは、対応するベンダーアップデートを監視して直ちに適用する必要があります。
Google Chromeを手動で更新するには、Chromeメニューに移動し、「ヘルプ」を選択して、「Google Chromeについて」をクリックしてください。
ブラウザは最新のアップデートを自動的にチェックし、パッチを安全に適用するための再起動を促します。
Googleはこれらの欠陥を内部的に捕捉するためAddressSanitizerやMemorySanitizerなどの高度なテストフレームワークに大きく依存していますが、ユーザーの迅速なパッチ適用は、アクティブなゼロデイ悪用に対する最も効果的な防衛手段のままです。
翻訳元: https://gbhackers.com/two-newly-discovered-chrome-zero-days-exploited/
