Googleは攻撃で悪用されたChromeのゼロデイ脆弱性を修正するための緊急更新をリリースしました。これは年初以来、修正される4番目のセキュリティ欠陥となります。
「Googleは、CVE-2026-5281のエクスプロイトが野放しに存在することを認識しています」と、火曜日に発表されたセキュリティ勧告の中でGoogleは述べました。
Chromiumのコミット履歴に詳述されている通り、この脆弱性はChromiumプロジェクトで使用されているWebGPU標準の基盤となるクロスプラットフォーム実装であるDawnにおけるuse-after-free脆弱性に由来しています。
攻撃者はこのDawnのセキュリティ欠陥を悪用して、Webブラウザーのクラッシュ、データ破損、レンダリングの問題、またはその他の異常な動作を引き起こすことができます。
Googleはこのゼロデイ欠陥が野放しで悪用されていた証拠を発見しましたが、これらのインシデントの詳細は共有しませんでした。
「バグの詳細とリンクへのアクセスは、大多数のユーザーが修正で更新されるまで制限されたままになる場合があります。バグが他のプロジェクトが同様に依存しているサードパーティーライブラリに存在しており、まだ修正されていない場合、制限を保持します」と同社は述べました。
Googleは現在、Stable Desktopチャネルのユーザー向けにゼロデイを修正しており、Windows、macOS(146.0.7680.177/178)、Linuxユーザー(146.0.7680.177)に新しいバージョンをロールアウトしています。Googleはこのアウト・オブ・バンド更新がすべてのユーザーに到達するのに数日から数週間かかる可能性があると述べていますが、BleepingComputerが今日更新をチェックしたときは即座に利用可能でした。
ブラウザーを手動で更新したくない場合は、次回起動時に更新をチェックして自動的にインストールするようにすることもできます。
これは年初以来、修正された4番目のアクティブに悪用されているChrome ゼロデイです。最初のもの(CVE-2026-2441)はCSSFontFeatureValuesMapのイテレータ無効化バグ(ChromeのCSS フォント機能値の実装)で、Googleは2月中旬に対処しました。
Googleは今月初めに攻撃で悪用された2つの他のChrome ゼロデイバグを修正しました:最初のものはSkia 2Dグラフィックスライブラリのバッファオーバーフロー書き込み脆弱性(CVE-2026-3909)で、2番目はV8 JavaScriptおよびWebAssemblyエンジンの不適切な実装の脆弱性(CVE-2026-3910)です。
2025年、Googleは合計8つの野放しで悪用されていたゼロデイを修正しました。その多くはスパイウェア攻撃で使用されるゼロデイエクスプロイトの追跡と特定で知られているGoogleの脅威分析グループ(TAG)によって発見・報告されました。
