Googleは26個のセキュリティ脆弱性を修正する新しいChrome安定版アップデートをリリースしました。このアップデートには、被害者が単に悪意のあるウェブページを訪問したり、細工されたウェブコンテンツを処理したりするだけで、リモートコード実行(RCE)を可能にする3つの重大なバグが含まれています。
このアップデートは、Windows および macOS ではバージョン 146.0.7680.153/154 として、Linux ではバージョン 146.0.7680.153 として展開されています。
2026年3月18日の安定チャネルアップデートは、WebGL、V8、WebRTC、Blink、ANGLE、CSS、Skia、PDFium、ネットワークスタック、デジタル認証APIなどのコアブラウザコンポーネントにまたがる26個のセキュリティ修正をもたらします。
Googleは、技術的な詳細はほとんどのユーザーがパッチを受け取るまで制限されたままであり、迅速なエクスプロイト兵器化のリスクを低減していることを指摘しています。
このリリースは、複数のアウト・オブ・バウンズアクセス、ヒープおよびスタックバッファオーバーフロー、整数オーバーフロー、ユース・アフター・フリー条件、型混同バグなど、メモリセーフティの問題に大きく焦点を当てています。これらはサンドボックスエスケープおよび最新ブラウザでの任意コード実行のために定期的に悪用されます。
3つの重大な脆弱性は、高リスク攻撃面への位置付けとメモリ破損の性質のため、主要なRCE実現者として際立っています:
全体として、これらの欠陥は重大なリモート攻撃面を表しています。攻撃者は悪意のあるWebGLコンテンツをホストするか、無害に見えるページに埋め込んで、レンダリング中のメモリ破損をトリガーし、Chromeのレンダラーコンテキストでリモートコード実行を達成し、追加の脆弱性を利用してさらに侵入を進める可能性があります。
3つの重大な問題以外に、このアップデートは、エクスプロイトチェーンをさらに強化する高度な重大度脆弱性の大規模なクラスターに対応しています:
これらのバグは、Syn4pse、heapracer、depthfirstのZhenpeng(Leo)Linなど、独立した研究者および学術および業界チームの混合によって発見されています。
Googleは、修正された問題の多くがAddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、制御フロー整合性、libFuzzer、およびAFLなどの自動化ツールを使用して発見されたことを強調しており、大規模なC/C++コードベースの強化のためのコンパイラベースおよびファジング手法の継続的な重要性を強調しています。
いくつかのバグの詳細は「TBD」のままであり、完全な悪用可能性情報はまだ公開されていませんが、リモートで到達可能なコンポーネント内のメモリ破損問題の集中は、パッチがリバースエンジニアリングされて分析されると、現実世界のエクスプロイト可能性を示唆しています。
エンタープライズは、特にWebGL、WebRTC、PDFレンダリング、および複雑なウェブアプリケーションが頻繁に使用される管理フリート全体でのテストおよび展開を優先すべきです。
翻訳元: https://cyberpress.org/google-chrome-update-fixes-26-security-flaws/