サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、Google Chromeおよびその基盤技術に影響を与える2つの極めて重大なゼロデイ脆弱性に関する緊急警告を発表しました。
両方の脆弱性は現在、野生環境で積極的に悪用されており、CISAはそれらを既知の悪用された脆弱性(KEV)カタログに追加することになりました。
連邦機関は2026年3月27日までにこれらの問題を修復することが必須であり、民間組織は直ちに対応することを強く促されています。
これらの脆弱性は、広く使用されているブラウザコンポーネント内の継続的なリスクを浮き彫りにし、エンタープライズ環境全体での迅速なパッチ管理の重要性を強化しています。
CVE-2026-3909として追跡されている最初の脆弱性は、GoogleのSkiaグラフィックスエンジンの境界外書き込み欠陥です。
Skiaは、複数のプラットフォーム上でテキスト、画像、グラフィカル要素をレンダリングする責務を持つオープンソースの2Dグラフィックスライブラリです。
この欠陥により、リモート攻撃者が被害者を特別に細工されたHTMLページにアクセスするよう説得することで、メモリ破損をトリガーすることができます。
悪用されると、この脆弱性はシステム不安定性または潜在的な任意のコード実行につながる可能性があります。
この広範な統合は攻撃面を大幅に拡大し、消費者環境とエンタープライズ環境の両方で悪用が特に影響力を持つようにしています。
2番目の欠陥であるCVE-2026-3910は、 Chromium V8 JavaScriptエンジンに影響を与えます。これはWebベースのスクリプトと動的コンテンツを実行する責務を持つコアコンポーネントです。
この脆弱性は不適切なメモリバッファ制限を伴い、攻撃者がメモリ操作を操作できるようにします。Skia欠陥と同様に、悪用には悪意を持って細工されたWebページへのアクセスが必要です。
悪用に成功すると、攻撃者はブラウザのサンドボックス環境内で任意のコードを実行できます。
サンドボックスは即座のシステムアクセスを制限しますが、脅威アクターは一般的にこのような脆弱性を追加の悪用と組み合わせ、隔離から逃れ、ターゲットシステムをより深く制御します。
Chromiumは複数のブラウザの基盤として機能するため、この脆弱性は以下に影響を与えます:
このクロスブラウザ露出は、広範な悪用キャンペーンの可能性を高めます。
この段階では積極的なランサムウェアキャンペーンへの確認された関連性がありませんが、これらの脆弱性の性質は脅威アクターにとって極めて魅力的です。
ユーザーが悪意のあるまたは侵害されたWebサイトを訪問するだけで侵害されるドライブバイダウンロード攻撃は、依然として一般的で有効な戦術です。
このようなメモリ破損脆弱性は、頻繁に以下の目的で使用されます:
両方の欠陥が最小限のユーザー相互作用を必要とするため、リスクレベルは大規模なユーザーベースまたはパッチが当たっていないシステムを持つ組織にとって重大なものと考えられています。
タイムリーなパッチとユーザー認識は、これらの積極的に悪用されているゼロデイ脆弱性に対する最も効果的な防御のままです。
修復を遅延させる組織は、従来のセキュリティ制御を迂回できるステルスなブラウザベースの攻撃への露出のリスクを負っています。
翻訳元: https://cyberpress.org/cisa-chrome-0-day-vulnerabilities/