Googleは複数の深刻度の高い欠陥に対応するChrome更新プログラムをリリースし、脆弱性の1つが野外で積極的に悪用されていることを確認しました。
「CVE-2026-5281の悪用が野外に存在することに気づいている」と、Googleは公開勧告で述べました。
CVE-2026-5281の詳細
CVE-2026-5281として追跡される脆弱性は、Chromeの WebGPU実装をDawn GPUアブストラクションレイヤーを通じて影響する、メモリ解放後の使用(use-after-free)の欠陥です。
この種の脆弱性は、プログラムが解放されたメモリへのアクセスを続けるときに発生し、攻撃者がメモリを操作して悪意のあるコードを実行する機会を作ります。
この場合、問題はDawn内に存在します。これはWebGPU機能を有効にし、基盤となるシステムハードウェアと密接に相互作用するクロスプラットフォームコンポーネントであり、悪用の潜在的な影響を増加させます。
GoogleはCVE-2026-5281が野外で積極的に悪用されていることを確認しました。
攻撃者は、GPU処理パイプライン内でメモリ管理不備を引き起こすことで、この欠陥を悪用できます。
これはメモリ破損につながり、敵対者がブラウザコンテキスト内で任意のコードを実行できるようにします。
より高度な攻撃チェーンでは、脆弱性は追加の欠陥と組み合わせられ、Chromeのサンドボックス保護をバイパスし、基盤となるシステムへのより深いアクセスを獲得する可能性があります。これは完全なデバイス侵害をもたらす可能性があります。
Chromeのパッチリリースは21の脆弱性に対応し、多くはWebGL、WebCodecs、CSS、およびV8 JavaScriptエンジンを含むコンポーネント間でのメモリ安全性の問題(use-after-freeやヒープバッファオーバーフローなど)を伴います。
パッチが適用された脆弱性は、Linux上の146.0.7680.177より前のChromeバージョン、およびWindows/macOS上の146.0.7680.177/178に影響を与えます。
ブラウザベースの攻撃からのリスク低減
この脆弱性の積極的な悪用を考慮すると、組織はエクスポージャーの低減と防御制御の階層化を優先すべきです。
- 最新のパッチを適用し、エンドポイント管理ツールを使用してすべての管理対象システム全体での展開を確認します。
- エンドポイントおよびネットワークテレメトリを監視して、悪用の兆候を検出します。異常なブラウザクラッシュ、異常なGPUアクティビティ、または疑わしい送信接続を含みます。
- WebGPU、WebGL、WebAssemblyなどの高リスクなブラウザ機能を制限し、エンタープライズポリシーを通じて拡張機能を制限します。
- EDR/XDR動作検出、悪用緩和制御、およびアプリケーション許可リストを有効にすることで、エンドポイント保護を強化します。
- 攻撃面を最小権限アクセス、ネットワークセグメンテーション、およびDNSまたはウェブフィルタリングを通じて低減し、悪意のあるインフラをブロックします。
- インシデント対応計画をテストし、攻撃シミュレーションツールを使用してブラウザ悪用シナリオを実施します。
これらの対策は、潜在的な侵害のブラスト半径を低減しながら、進化するブラウザベースの脅威に対する全体的な耐性を強化するのに役立ちます。
ブラウザの複雑性が新しいリスクを生み出している
この事件は、より広いトレンドを浮き彫りにしています。現代のブラウザは、GPU加速やリアルタイムレンダリングなどの機能を組み込み、攻撃面を拡大しながら、より複雑化し続けています。
メモリ安全性の脆弱性、特にuse-after-freeの問題は、継続的な課題として残っています。
同時に、AIの進歩は、脆弱性の発見の高速化と、開示と悪用の間の時間短縮に貢献しています。
これらのリスクが進化し続ける中、組織はゼロトラストソリューションに目を向け、エクスポージャーを制限し、インシデントのブラスト半径を低減するのに役立てています。
翻訳元: https://www.esecurityplanet.com/threats/chrome-vulnerability-cve-2026-5281-exploited-in-the-wild/
