新たなゼロデイ脆弱性がChromeブラウザ内で明かされたもので、すでに野外で積極的に悪用されています。Googleは重大なセキュリティパッチを配布し、ユーザーに対して最迅速にアップデートをインストールすることを緊急に要請しています。
これはCVE-2026-5281として指定された設計上の脆弱性に関するもので、WebGPU標準とブラウザベースのグラフィック処理を担当する「Dawn」メカニズムに存在しています。この脆弱性は「Use-After-Free」に分類されます。このような場合、デジタル攻撃者は揮発性メモリを悪用して任意のコード実行を実現する可能性があります。
NVDリポジトリからのテレメトリによれば、慎重に設計されたHTMLテーブルを通じて攻撃が仕掛けられる可能性があります。攻撃者がレンダリングプロセスを悪用することに成功した場合、悪意のあるコードがユーザーの環境内で直接実行される可能性があります。Googleは、追加の攻撃者にロードマップを提供するのを避けるため、エクスプロイトの詳細を明かさないことを選択しました。
企業はこの脆弱性が現在実際に悪用されていることを確認していますが、これらの操作の背後にいる者の正体と彼らのキャンペーンの規模は依然として不明です。このような情報開示の抑制は開発者の間で確立された慣例となっており、診断詳細の開示に先立ち、修正プログラムの普遍的な普及を優先しています。
年初からGoogleはChrome内の複数の積極的に悪用されている脆弱性を修正しています。以前、同社はCVE-2026-3909、CVE-2026-3910、CVE-2026-2441として識別された欠陥を塞ぎました。これらはいずれも、修正が発行される前に敵対者によって悪用されていました。
防御を強化するために、GoogleはWindows及びmacOS用のChrome バージョン146.0.7680.177または146.0.7680.178、Linux用の146.0.7680.177をインストールすることを推奨しています。更新はブラウザの内部設定を通じてアクセス可能で、効果を発揮するには続いてアプリケーションを再起動する必要があります。
Edge、Brave、Opera、Vivaldiなどの補助的なChromiumベースのブラウザのユーザーも、対応するアップデートの出現に注視し、躊躇なくインストールすることを勧告されています。
翻訳元: https://meterpreter.org/google-issues-emergency-patch-for-actively-exploited-chrome-zero-day/
