Googleは、Chrome 向けに、2つの深刻度の高いゼロデイ脆弱性を修正する緊急セキュリティアップデートを公開しました。
どちらの脆弱性もリモートから悪用可能であり、ユーザーが悪意のあるウェブサイトにアクセスするだけで攻撃が可能となる。攻撃の手口が単純であるため、これらの脆弱性は現実世界においてより高いリスクをもたらす。
Chrome の更新方法
Windows 向けの最新バージョン番号は146.0.7680.75/76、Linux向けは146.0.7680.75です。お使いの Chrome バージョン146.0.7680.75以降であれば、これらの脆弱性から保護されています。
最新の状態を保つ最も簡単な方法は、Chrome の自動更新を有効にすることです。ただし、ブラウザをほとんど閉じない場合や、更新プロセスに何らかの障害が生じた場合、更新が遅れることがあります。
手動で更新するには:
- 「その他」メニュー(3つの点)をクリックしてください
- 「設定」>「Chrome について」に移動します。
- 更新プログラムが利用可能な場合、Chrome はダウンロードを開始します。
- Chrome を再起動して更新を完了すると、これらの脆弱性から保護されます。
また、Chrome のアップデート方法に関するガイドには、バージョン番号の確認方法も含め、手順が詳しく記載されています。
技術的な詳細
Googleによると、同社はこれらのバグを社内で発見し修正しており、発見から約2日以内にパッチが適用されたという。
CVE-2026-3909は、WebコンテンツおよびUI要素をレンダリングする Chrome の「Skia」に存在する、範囲外書き込みの脆弱性です。リモートの攻撃者は、ユーザーをこの脆弱性を引き起こす悪意のあるWebページに誘導することで、メモリを破損させ、ブラウザのコンテキスト内でコードを実行する可能性があります。Skiaはオープンソースの2Dグラフィックスライブラリであり、Google Chrome および他の多くの製品で使用されています。
CVE-2026-3910は、V8 JavaScriptおよびWebAssemblyエンジンにおける不適切な実装の欠陥です。悪意を持って作成されたHTMLページを閲覧することで、リモートの攻撃者がV8のサンドボックス内で任意のコードを実行できる可能性があります。V8はGoogleがJavaScript処理のために開発したエンジンですが、これまでに数多くのバグが報告されています。
Chrome の Skia および V8 コンポーネントは、信頼できないWebコンテンツと基盤となるシステムとの間の経路に直接位置しているため、主な標的となっています。
Skiaでは、範囲外書き込みを他のバグと組み合わせてレンダラーのサンドボックスを突破することが可能である一方、V8の実装上の欠陥は、標的型攻撃を行う攻撃者やスパイウェアベンダーが使用するエクスプロイトチェーンに頻繁に登場している。
安全に過ごすには
デバイスを保護するため、できるだけ Chrome を更新してください。ゼロデイ脆弱性が修正される前であっても、被害に遭わないためのヒントをいくつかご紹介します:
- メールやメッセージ、見知らぬウェブサイト、ソーシャルメディア上の不審なリンクはクリックしないでください。
- 自動更新を有効にし、定期的に再起動してください。多くのユーザーはブラウザを何日も開いたままにしているため、バックグラウンドで更新がダウンロードされていても、保護が遅れることがあります。
- Web保護機能を備えた、最新のリアルタイム型マルウェア対策ソリューションをご利用ください。
その他の Chromium ベースのブラウザをご利用の方にも、まもなく同様のアップデートが提供される予定です。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐ Malwarebytes をダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
