米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Google ChromeおよびChromiumベースの ブラウザの重大な零日脆弱性について緊急警告を発行しました。この脆弱性は実際のサイバー攻撃で積極的に悪用されています。
CVE-2026-5281として正式に追跡されているこの欠陥は、脅威行為者による積極的な悪用の確認報告を受けて、CISAの既知悪用脆弱性(KEV)カタログに追加されました。
この脆弱性はGoogle Dawnに起因するもので、Chromiumブラウザエンジンに組み込まれたオープンソースのウェブグラフィックスコンポーネントであり、数億人のユーザーが即座の危険にさらされています。
CVE-2026-5281の本質は、ユーザーアフターフリーのメモリ破損脆弱性です。このタイプの脆弱性は、プログラムが既に解放または割り当て解除されたメモリ領域にアクセスしようとするときに発生します。
攻撃者はこのメモリの混乱を悪用して、ブラウザをクラッシュさせたり、より深刻なシナリオでは被害者のシステム上で任意のコードを実行したりする可能性があり、データ盗難、マルウェア感染、またはシステム全体の侵害につながる可能性があります。
悪用には、攻撃者が被害者に特別に細工された悪意のあるウェブページにアクセスするよう誘導する必要があります。
ブラウザのレンダラープロセスが既に侵害されている場合、この脆弱性は攻撃者に重大な足がかりを提供し、ユーザーの知識がまったくないまま、バックグラウンドで悪意のあるコマンドを静かに実行することができます。
Google DawnはChromiumフレームワークのコアに組み込まれているため、この脆弱性はGoogle Chromeだけに限定されません。
Microsoft Edge、Opera、Brave、および他のChromiumベースのブラウザのユーザーも同様に危険にさらされています。攻撃の対象領域は非常に広く、すべての主要なオペレーティングシステムにおけるコンシューマーおよびエンタープライズ環境にまたがっています。
現在のところ、CISAはランサムウェアグループがまだCVE-2026-5281をアクティブなキャンペーンに組み込んでいるかどうかは不明であるとしていますが、KEVリストは悪用がすでに進行中であり、エスカレーションが深刻な懸念であることを示しています。
この期限は技術的には連邦ネットワークにのみ拘束力がありますが、CISAは民間組織と個々のユーザーに対して、このアドバイザリを同等の緊急性で扱うよう強く促しています。
このアドバイザリは、レンダリングエンジンの低レベルのメモリ脆弱性を悪用するブラウザレイヤー攻撃の増加傾向を浮き彫りにしています。
セキュリティチームは、エンドポイント保護ポリシーを見直し、組織全体でブラウザ更新コンプライアンスを強制し、高リスクのユーザーセグメント向けにウェブ分離技術の導入を検討する必要があります。
CISAのアクティブな関与と確認された悪用ステータスを考えると、行動を遅延させることは選択肢ではありません。
翻訳元: https://cyberpress.org/cisa-alerts-on-chrome-zero-day-exploit/