Googleは、8つの高重大度の脆弱性に対処するため、Chromeブラウザの重要なセキュリティアップデートをリリースしました。
ユーザーは、潜在的な遠隔コード実行攻撃からシステムを保護するため、ブラウザをすぐに更新することを強く推奨されています。
安定版チャネルのアップデートは、WindowsおよびMacユーザー向けにバージョン146.0.7680.164および146.0.7680.165をロールアウトし、Linuxユーザーは今後数週間にわたってバージョン146.0.7680.164を受け取ります。
深刻なメモリ管理の欠陥
このリリースで修正された脆弱性は主にメモリ管理エラーであり、これはサイバー犯罪者の一般的なターゲットです。
これらの欠陥には、ヒープバッファオーバーフロー、解放後の使用バグ、範囲外読み取り、および整数オーバーフローが含まれます。
悪用されると、これらのセキュリティギャップにより、悪意のある行為者は被害者のマシン上でブラウザをクラッシュさせるか、不正なコードを実行できます。
攻撃者は通常、ユーザーを特別に作成された悪意のあるウェブページにアクセスするよう騙すことで、これらのエクスプロイトをトリガーします。
最も重大な修正の中には、WebAudio (CVE-2026-4673) およびWebGL (CVE-2026-4675) にある2つのヒープバッファオーバーフローがあります。
ヒープバッファオーバーフローは、プログラムがメモリ領域に保持できる以上のデータを書き込むときに発生し、隣接するメモリを上書きする可能性があり、攻撃者がアプリケーションを制御できるようにします。
WebAudio脆弱性は2月中旬に報告され、研究者は$7,000のバウンティ報酬を獲得しました。
このアップデートは、異なるChromeコンポーネント全体の複数の解放後の使用脆弱性に対処します。
これは、プログラムがメモリが解放された後もメモリポインタを使用し続けるときに発生し、攻撃者が悪意のあるコードを注入するためのウィンドウを作成します。
修正された解放後の使用欠陥は、Dawn (CVE-2026-4676)、WebGPU (CVE-2026-4678)、およびFedCM (CVE-2026-4680) に影響します。WebGPUとDawnは、インタラクティブグラフィックスをレンダリングするために使用されるプログラミングインターフェースです。
これらのコンポーネントはデバイスハードウェアと密接に相互作用するため、ここでの脆弱性は特に懸念されています。
さらに、Googleは CSS (CVE-2026-4674) およびWebAudio (CVE-2026-4677) の範囲外読み取り脆弱性を修正しました。
範囲外読み取りにより、攻撃者は制限されたメモリ領域にアクセスできます。これは機密データの漏洩につながり、セキュリティ機構を回避するのに役立ちます。
最後に、Fontsコンポーネント (CVE-2026-4679) の整数オーバーフロー脆弱性も正常に解決されました。
セキュリティ緩和戦略
標準的なセキュリティプラクティスに従って、Googleは技術的な詳細とエクスプロイトの詳細を制限しています。
この一時的な情報遮断は、脅威行為者がパッチをリバースエンジニアリングし、ユーザーベースの大多数がブラウザを更新する前に働いているエクスプロイトを作成するのを防ぎます。
Googleはこれらのアクセス制限が脆弱性が他のプロジェクトが依存しているがまだ修正されていないサードパーティライブラリに存在する場合、有効に残ると述べました。
これら8つの高重大度の脅威から保護を確保するために、ユーザーは手動でブラウザのバージョンを確認する必要があります。
Chromeメニューに移動し、「ヘルプ」を選択して「Google Chromeについて」をクリックすることで、アップデートをトリガーできます。
ブラウザは自動的に最新のアップデートをチェックし、ダウンロードして、セキュリティ修正を適用するためにアプリケーションを再起動するよう促します。
翻訳元: https://gbhackers.com/chrome-security-update-fixes-8-vulnerabilities/
