Googleは、パッチが配備される前に攻撃者が既に悪用していた2つの以前不明な脆弱性を修正するための緊急Chrome更新を配布しました。
CVE-2026-3909とCVE-2026-3910として追跡されるこれらのバグはブラウザのコアコンポーネントに影響し、ほとんどのユーザーが更新されるまで技術的詳細は非開示のままになるというGoogleからの通常の警告を促しました。
「バグの詳細へのアクセスとリンクは、ユーザーの大多数がフィックスで更新されるまで制限されたままになる可能性があります。また、他のプロジェクトが同様に依存しているが、まだ修正していないサードパーティライブラリにバグが存在する場合も、制限を保持します」と同社は述べました。
CVE-2026-3909はSkiaの範囲外書き込み欠陥であり、Skiaはウェブコンテンツとユーザーインターフェイスの一部をレンダリングするためにChromeが使用するグラフィックスライブラリです。このようなメモリ破損バグは、攻撃者によって悪用されてアプリケーションをクラッシュさせたり、正常に悪用された場合は独自のコードを実行したりする場合があります。
2番目のバグであるCVE-2026-3910は、V8 JavaScriptおよびWebAssemblyエンジンの不適切な実装問題として説明されており、V8はウェブページ上のスクリプトを実行するためのChromeの責任を負う部分です。V8脆弱性は、ターゲットに悪意のあるまたは侵害されたサイトを訪問させることによってトリガーされる可能性があるため、攻撃者にとって特に価値があります。
Googleは両方の脆弱性の悪用が野放しになっていることに気づいていると述べていますが、バグがどのように使用されているか、または攻撃の背後にいる可能性がある人については詳細を共有していません。その沈黙はゼロデイが関与する場合、かなり典型的です。ベンダーはパッチが広く普及する前に悪用開発者に設計図を与えることを避けるために技術情報を差し控える傾向があります。
修正は、Windows、macOS、およびLinux用の最新のChrome Stableアップデートに含まれており、今後数日から数週間で自動的に展開されるはずです。ユーザーはChromeの設定メニューを使用して手動で更新をトリガーすることもでき、インストールを完了するためにブラウザを再起動する必要があります。
Googleは両方のバグが社内で発見されたと述べていますが、これが常に当てはまるわけではありません。同社はまた、今週、2025年に脆弱性報奨プログラムを通じて747人のセキュリティ研究者に1700万ドルを支払ったことを明らかにしました。
修正は、Googleが別の積極的に悪用されているChrome ゼロデイ(CVE-2026-2441)にパッチを当てた約1か月後に到着します。これはブラウザのCSS処理における高度な重大度の使用後フリー脆弱性であり、悪意のあるウェブページがブラウザのサンドボックス内でコードを実行する可能性があります。
2つ以上のゼロデイが現在攻撃されており、Chromeの2026年の集計は既に成長しています。ブラウザが更新するために再起動するよう促している場合、これは聞く良い時期かもしれません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/13/google_zeroday_chrome_update/
