一つはリモート攻撃者がサンドボックス内で任意のコードを実行できるもので、もう一つは機密情報の喪失をもたらす可能性があります。
脅威アクターがChromeブラウザの2つの高深刻度のゼロデイ脆弱性を悪用しており、専門家はITチームが直ちにパッチを適用する必要があると述べています。
Googleは2つの脆弱性に対する緊急パッチをリリースしました。脆弱性はCVE-2026-3909とCVE-2026-3910です。 これは3月のパッチチューズデーの一部として29件の修正がリリースされてからわずか数日後のことであり、2月にリリースされたゼロデイパッチの後です。バージョン146.0.7680.75より前のブラウザが影響を受けます。
これらのエクスプロイトは、情報セキュリティのリーダーが認可されたすべてのブラウザとプラグインのための企業パッチング戦略があることを確認する必要があるもう一つの理由を提供しています。
「ブラウザパッチを管理していない場合、毎日pwned(侵害される)可能性が高くなっています」とカナダを拠点とするセキュリティ認識トレーニング企業Beauceron SecurityのDavid Shipley氏は述べています。
CVE-2026-3910は、Chromeの V8 JavaScriptおよびWebAssemblyエンジン内の不適切な実装のため、細工されたHTMLページを介してリモート攻撃者がサンドボックス内で任意のコードを実行できます。CVE-2026-3909は、細工されたHTMLページを介してリモート攻撃者がメモリの範囲外アクセスを実行できます。原因はChromeのSkiaグラフィックスライブラリのメモリ範囲外書き込みです。 ブラウザメモリへのアクセスは企業の機密情報の喪失をもたらす可能性があると、Shipley氏は指摘しています。
会社のポリシーに従い、Googleはユーザーの大多数が修正プログラムで更新されるまでバグの詳細をリリースしていません。
ブラウザは主要な標的
ブラウザは誰もがオンラインで使用するツールであるため、脅威アクターの主要な標的です。Palo Alto NetworksのOmdiaによる2025年のレポートでは、12ヶ月間の期間において、95%の組織が従業員のブラウザから発生したセキュリティインシデントに見舞われたと推定されています。
このため、あるエキスパートは指摘しています敵対者は現在、クロスサイトスクリプティング(XSS)、盗まれたトークンによるセッションハイジャック、従来のMFAをバイパスする高度なフィッシングなどの攻撃でブラウザを直接標的にしています。ブラウザ中心のゼロトラストフレームワークが必要な対応であると彼は主張しています。
これらの新しい脆弱性は、ブラウザエンジンが攻撃者にとって最も魅力的な標的の一つである理由を強調していると、Action1の脆弱性研究ディレクターJack Bicer氏は述べています。「アクティブな悪用がすでに確認されているため、更新を遅延させる組織は、侵害されたまたは悪意のあるウェブサイトを通じて配信されるドライブバイ攻撃にユーザーをさらすリスクがあります。」
Chrome、Edge、その他を含むChromiumおよびChromiumベースのすべてのブラウザは、できるだけ早く最新のセキュリティバージョンに更新する必要があると彼は述べています。管理者はまた、エンタープライズエンドポイント全体で自動更新が有効になっていることを確認し、古いブラウザバージョンを監視し、ウェブベースの攻撃への露出を削減するためにブラウザ分離技術の使用を検討する必要があります。
Scott Caveza、Tenableのシニアスタッフリサーチエンジニアは、最新の2つのゼロデイがChromeがアクティブにインストールされている組織のレーダーに入るべきであることに同意しています。Googleはこれらの脆弱性の悪用に関する詳細を提供していませんが、ほとんどのブラウザ関連エクスプロイトは被害者が細工されたウェブサイトにアクセスすることを必要とするため、攻撃がより対象化される可能性があると彼は述べています。
幸い、彼は、Chromeの更新は迅速で簡単であり、多くのインストールは自動更新を有効にしたままにしていると付け加えています。
「攻撃者は日和見的であり、市場で最も広くインストールされているブラウザの一つに標的を定めるとき、チームが今すぐ行動を起こしてできるだけ早く更新が適用されるようにすることが命令的です」と彼は述べています。
