米国サイバーセキュリティ基盤局(CISA)は、Google ChromeおよびChromiumベースの他のウェブブラウザに影響を及ぼす重大なゼロデイ脆弱性に関する緊急警告を発令しました。
公式にはCVE-2026-5281として追跡されており、このセキュリティ欠陥は、ハッカーが実際の攻撃で積極的に悪用しているため、CISAの既知の悪用された脆弱性(KEV)カタログに追加されました。
この脆弱性はGoogle Dawnに由来します。これはChromiumブラウザエンジン内で使用されるオープンソースのウェブグラフィックスコンポーネントです。
セキュリティ研究者によると、このバグは「use-after-free」メモリの問題です。簡単に言えば、use-after-freeエラーは、プログラムが既に解放またはクリアされたコンピュータメモリのセクションにアクセスしようとするときに発生します。
サイバー犯罪者は、このメモリ混乱を武器化してソフトウェアをクラッシュさせたり、システムをハイジャックしたりできます。
この欠陥を悪用するには、攻撃者は被害者を特別に作成された悪意のあるウェブページにアクセスするようにだまします。攻撃者がブラウザのレンダラープロセスを既に侵害している場合、この脆弱性により任意のコードを実行することができます。
これは、攻撃者がターゲットマシンで秘密に悪意のあるコマンドを実行でき、データ盗難やマルウェアのインストールにつながる可能性があることを意味します。
Google DawnはChromiumフレームワークのコアに組み込まれているため、脅威はGoogle Chromeだけをはるかに超えて拡張します。
Microsoft Edge、Opera、Braveおよび他のChromiumベースのブラウザのユーザーは同様にリスクにさらされています。
現在のところ、CISAは、ランサムウェアギャングがこの特定の悪用をその攻撃キャンペーンに組み込んでいるかどうかは現在不明であると述べています。
CISAは2026年4月1日にCVE-2026-5281をそのKEVカタログに公式に追加しました。連邦文民行政機関には、2026年4月15日までに必要なパッチを適用する期限があります。
この厳格な2週間の期限は技術的には政府ネットワークにのみ適用されますが、CISAは民間企業および日常のインターネットユーザーが同じレベルの緊急性でこのアラートを扱うことを強く推奨しています。
安全を保つために、ユーザーとネットワーク管理者は迅速に行動する必要があります。ブラウザの設定を直ちに確認し、自動更新がオンになっていることを確認する必要があります。
Google、Microsoft、および他のブラウザベンダーが提供する最新のセキュリティパッチを利用可能になったらすぐに適用してください。
パッチが特定の環境で利用できない場合、CISAは潜在的なサイバー攻撃を防ぐために脆弱なソフトウェアの使用を一時的に中止することをお勧めします。
翻訳元: https://gbhackers.com/cisa-alert-on-chrome-zero-day/
