サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、極めて重大な2つのゼロデイ脆弱性に関する緊急警告を発令しました。
主にGoogle Chromeとその基礎となるテクノロジーに影響を与えるこれらの欠陥は、現在、悪意のある者たちによって野生で悪用されています。
その結果、CISAは両方のセキュリティ問題を既知の悪用脆弱性(KEV)カタログに追加し、連邦政府機関に対して即座のパッチ適用を義務づけ、民間企業にも同様の対応を強く促しています。
Skiaグラフィックスエンジンの欠陥
最初の脆弱性はCVE-2026-3909として追跡されており、Google Skiaに位置する範囲外書き込み問題です。Skiaは、デジタルスクリーンでテキスト、図形、画像をレンダリングする広く使われているオープンソースの2Dグラフィックスライブラリです。
この特定の欠陥により、リモートの攻撃者は、ユーザーを特別に細工されたHTMLページを訪問させるように騙すことによって、範囲外メモリアクセスをトリガーすることができます。
Skiaが多くのデジタルエコシステムに統合されているため、この脆弱性の影響はGoogle Chromeをはるかに超えて広がります。
また、Chrome OS、Androidデバイス、Flutterフレームワークで構築されたアプリケーション、およびグラフィックス処理にSkiaエンジンに依存する他のソフトウェア製品に対しても、重大なセキュリティリスクをもたらします。
Chromium V8 JavaScriptの欠陥
CVE-2026-3910として識別された2番目の脆弱性は、Chromium V8 JavaScriptエンジンに存在します。
このコアコンポーネントは、動的なWebコンテンツを処理する責任があります。この欠陥は、メモリバッファの範囲内の操作に対する不適切な制限を伴っています。
Skiaの脆弱性と同様に、攻撃者はこの弱点を、犠牲者を悪意のあるウェブサイトに誘導することで悪用することができます。
細工されたHTMLページがバグをトリガーすると、攻撃者は制限されたサンドボックス内で任意のコードを実行できます。
コードは最初はサンドボックスに限定されていますが、攻撃者はこれらのタイプのエクスプロイトを他の脆弱性と組み合わせることで、より深いシステムアクセスを得ることが頻繁にあります。
V8が基礎となるChromiumフレームワークを動かしているため、この欠陥はMicrosoft EdgeやOperaを含む複数の一般的なWebブラウザに影響を及ぼします。
現時点では、サイバーセキュリティ研究者は、これらの特定の脆弱性が活発なランサムウェアキャンペーンで悪用されているかどうかを確認していません。
しかし、両方の欠陥が単に侵害されたウェブサイトを訪問することでトリガーできるという事実は、一般ユーザーとエンタープライズネットワークの両方にとって非常に危険です。
攻撃者は、これらのタイプのメモリ破損バグに日常的に頼って、現代的なセキュリティ防衛をバイパスします。
推奨される緩和策
CISAは、これらの活発な脅威に対処するために、連邦政府機関に対して厳しい期限を設定しました(2026年3月27日まで)。環境をセキュアにするために、セキュリティチームと管理者は次の措置を講じるべきです:
- Google Chrome、Microsoft Edge、Operaを含むすべての影響を受けるWebブラウザを、最新の利用可能なパッチバージョンに更新してください。
- 公式ベンダーの指示に従って、ChromeOS、Android、およびFlutterベースのアプリケーションに必要なソフトウェア更新を適用してください。
- 該当するクラウドセキュリティガイダンスに従うか、公式な緩和策が利用できない場合は、脆弱な製品の使用を完全に中止してください。
- これらのエクスプロイトは犠牲者が悪意を持って作成されたWebページを訪問する必要があるため、ネットワークユーザーに未検証リンクをクリックすることの危険性について教育してください。
翻訳元: https://gbhackers.com/cisa-alerts-chrome-0-day-flaws/
