Googleは、デスクトップブラウザのChromeに対して緊急セキュリティ更新をリリースしました。この更新は21の脆弱性を修正するもので、すでに野生での悪用が活発になっている重大なゼロデイの欠陥も含まれています。すべてのChromeユーザーは直ちにアップデートすることを強くお勧めします。
パッチが適用されたバージョンはWindowsとMac向けが146.0.7680.177/.178で、Linux向けが146.0.7680.177です。ユーザーは、Chrome メニュー → ヘルプ → Google Chromeについてに移動してアップデートでき、ブラウザは再起動時に自動的にパッチをダウンロードして適用します。
このリリースで修正された最も危険な欠陥はCVE-2026-5281で、Chromeの Dawn グラフィックスコンポーネントに見つかった高重大度の「use after free」メモリ破損バグです。
Use-after-free バグは、プログラムがメモリ解放後もメモリポインタを使用し続けるときに発生します。
攻撃者はこれを悪用して任意の悪意のあるコードを実行したり、システムクラッシュをトリガーしたりできます。多くの場合、被害者を侵害されたまたは悪意のあるウェブサイトに訪問するよう誘うだけで実行できます。
ゼロデイとともに、Googleは外部のセキュリティ研究者と内部チームから報告された他の20の脆弱性も修正しました。
大多数は次を含む高重大度のメモリセーフティの問題です:
これらの修正は、Googleの内部テストツール AddressSanitizer と MemorySanitizer によってサポートされました。これらは安定リリースに達する前にメモリ破損脆弱性を検出します。
セキュリティチームとエンタープライズ管理者は、リモートコード実行の試みをブロックするために、このパッチをChromeベースのすべての環境に直ちにデプロイすることを優先すべきです。
ブラウザは単純な再起動時に自動的に更新を適用し、攻撃者の悪用ウィンドウを効果的に閉じます。
翻訳元: https://cyberpress.org/chrome-zero-day-vulnerability/