Googleは、実際に積極的に悪用されている2つの高度な深刻度のゼロデイ脆弱性を発見した後、Chromeブラウザの緊急セキュリティアップデートをリリースしました。
CVE‑2026‑3909およびCVE‑2026‑3910として追跡されているこれらの欠陥は、攻撃者が脆弱なシステム上で悪意のあるコードを実行できる可能性があります。
同社は、Chrome Stable Channelアップデートの一部として修正を発表しました。これはブラウザをWindowsおよびmacOSではバージョン146.0.7680.75/76にアップグレードし、LinuxではバージョンL46.0.7680.75にアップグレードします。このアップデートは今後数日から数週間にわたって段階的にロールアウトされます。
Googleは、これらの脆弱性をターゲットとするエクスプロイトが既に実野に存在することを確認し、ユーザーと組織にとって即座のパッチ適用が重要であることを示しています。
最初の脆弱性CVE‑2026‑3909は、Chromeが画像と視覚要素をレンダリングするために使用するグラフィックスエンジンであるSkiaの境界外書き込みの欠陥です。
境界外メモリの問題は、プログラムが割り当てられたメモリバッファの外にデータを書き込むときに発生します。
攻撃者はこの動作を潜在的に悪用して、メモリを破損し、ブラウザ環境内で任意のコードを実行できます。
2番目の脆弱性CVE‑2026‑3910は、Chromeの高性能JavaScriptエンジンであるV8の不適切な実装の問題を含みます。
V8はブラウザ内でJavaScriptコードを実行することを担当しており、このコンポーネントの脆弱性は悪意のあるウェブコンテンツを通じてトリガーできるため、特に危険です。
成功裏に悪用された場合、この欠陥は攻撃者がブラウザプロセスを操作できるようにしたり、リモートコード実行またはシステム侵害をさらに引き起こす可能性があります。
Googleは、両方の脆弱性が既に実世界の攻撃で悪用されていることを確認しました。ただし、同社は悪用技術、関係する脅威アクター、または攻撃キャンペーンについての具体的な詳細を開示していません。
この制限された開示は意図的なものです。Googleは、ほとんどのユーザーがセキュリティアップデートを受け取るまで、積極的に悪用されている脆弱性に関する技術的な詳細を制限し、攻撃者がこの情報を使用して新しいエクスプロイトを開発することを防止しています。
攻撃者は、高価値の個人、企業、ジャーナリスト、または政府機関を対象とした標的化キャンペーンでそれらを頻繁に使用します。
これらのツールは、安定版リリースチャネルに到達する前に、開発中の脆弱性を早期に検出するのに役立ちます。
ユーザーと組織は、潜在的な悪用から保護するために、Chromeを直ちに最新バージョンに更新することを強く勧めています。
ユーザーはSettings → About Chromeに移動することでChromeバージョンを確認できます。これは自動的にアップデートチェックをトリガーします。
両方の脆弱性が積極的に悪用されていることが確認されていることから、最新のChromeアップデートを適用することが、潜在的な侵害を防ぐための最も効果的な方法です。
翻訳元: https://cyberpress.org/two-new-google-chrome-zero-day-vulnerabilities/