Googleは複数の危険な脆弱性を解決するため、Chromeブラウザの緊急セキュリティアップデートをリリースしました。
Chromeチームは2026年4月7日にバージョン147をWindows、Mac、Linuxユーザー向けの安定版チャネルに昇格させました。
このメジャーリリースは、攻撃者が任意コードを実行し、影響を受けたシステムを完全に制御できる可能性のある欠陥を修正しています。このアップデートは現在、グローバルなすべてのユーザーに数日から数週間かけてロールアウトされています。
このアップデートで最も深刻な脅威は、WebMLコンポーネントに位置する2つの重大な脆弱性です。CVE-2026-5858およびCVE-2026-5859として追跡されており、これらの欠陥はヒープバッファーおよび整数オーバーフローを伴います。
それらが引き起こす高いリスクのため、Googleはそれらを発見したセキュリティ研究者に43,000ドルの莫大なバグ報奨金を授与しました。
これらの重大なバグは、特別に細工されたウェブページにユーザーを騙して訪問させるだけで悪用される可能性があり、即座のパッチ適用が絶対に必要です。
重大な欠陥を超えて、Chrome 147はいくつかの主要なブラウザコンポーネント全体に広がる多数の高重大度のバグに対処しています。
セキュリティ研究者はV8 JavaScriptエンジン、WebRTC、メディア、Blink、およびSkiaでUse-After-Freeエラー、型の混同、境界外読み取り・書き込み欠陥などの深刻な問題を発見しました。
悪用された場合、これらの脆弱性はブラウザのクラッシュを引き起こしたり、悪意のある者が基盤となるシステムを危険にさらしたりする可能性があります。
Googleは報告された問題が悪用されない可能性を防ぐため、これらの問題を報告した倫理的なハッカーに数万ドルの報酬を支払いました。
ユーザーを保護するため、Googleはこれらの脆弱性の技術的詳細とエクスプロイト方法を厳密に制限し続けます。
この協調的な情報開示ポリシーは、大多数の一般市民がサイバー犯罪者が修正を逆エンジニアリングできる前にセキュリティパッチをインストールするのに十分な時間を持つことを保証します。
また、同じ脆弱な第三者ライブラリに依存する他のソフトウェアプロジェクトを保護し、パッチが開発・展開されている間、より広いテックエコシステムが安全に保たれることを確保します。
WebMLの欠陥の深刻な性質のため、個人およびエンタープライズ管理者はブラウザを即座に更新することを強く勧められます。
Chromeメニューを開き、ヘルプに移動して、[Google Chromeについて]を選択することで、手動でアップデートを強制できます。
ブラウザはLinux用に147.0.7727.55、またはWindows/Mac用に147.0.7727.55/56を自動的にダウンロードし、潜在的なサイバー攻撃からデバイスを保護します。
Chrome 147セキュリティ修正
| CVE ID | 重大度 | コンポーネント | 脆弱性の種類 |
|---|---|---|---|
| CVE-2026-5858 | 重大 | WebML | ヒープバッファオーバーフロー |
| CVE-2026-5859 | 重大 | WebML | 整数オーバーフロー |
| CVE-2026-5860 | 高 | WebRTC | Use After Free |
| CVE-2026-5861 | 高 | V8 | Use After Free |
| CVE-2026-5862 | 高 | V8 | 不適切な実装 |
| CVE-2026-5863 | 高 | V8 | 不適切な実装 |
| CVE-2026-5864 | 高 | WebAudio | ヒープバッファオーバーフロー |
| CVE-2026-5865 | 高 | V8 | 型の混同 |
| CVE-2026-5866 | 高 | メディア | Use After Free |
| CVE-2026-5867 | 高 | WebML | ヒープバッファオーバーフロー |
| CVE-2026-5868 | 高 | ANGLE | ヒープバッファオーバーフロー |
| CVE-2026-5869 | 高 | WebML | ヒープバッファオーバーフロー |
| CVE-2026-5870 | 高 | Skia | 整数オーバーフロー |
| CVE-2026-5871 | 高 | V8 | 型の混同 |
| CVE-2026-5872 | 高 | Blink | Use After Free |
| CVE-2026-5873 | 高 | V8 | 境界外読み取り・書き込み |
| CVE-2026-5874 | 中 | PrivateAI | Use After Free |
| CVE-2026-5875 | 中 | Blink | ポリシー回避 |
| CVE-2026-5876 | 中 | ナビゲーション | サイドチャネル情報漏洩 |
| CVE-2026-5877 | 中 | ナビゲーション | Use After Free |
| CVE-2026-5878 | 中 | Blink | 不正なセキュリティUI |
| CVE-2026-5879 | 中 | ANGLE | 信頼できない入力の検証不足 |
| CVE-2026-5880 | 中 | ブラウザUI | 不正なセキュリティUI |
| CVE-2026-5881 | 中 | LocalNetworkAccess | ポリシー回避 |
| CVE-2026-5882 | 中 | フルスクリーン | 不正なセキュリティUI |
| CVE-2026-5883 | 中 | メディア | Use After Free |
| CVE-2026-5884 | 中 | メディア | 信頼できない入力の検証不足 |
| CVE-2026-5885 | 中 | WebML | 信頼できない入力の検証不足 |
| CVE-2026-5886 | 中 | WebAudio | 境界外読み取り |
| CVE-2026-5887 | 中 | ダウンロード | 信頼できない入力の検証不足 |
| CVE-2026-5888 | 中 | WebCodecs | 未初期化の使用 |
| CVE-2026-5889 | 中 | PDFium | 暗号化の欠陥 |
| CVE-2026-5890 | 中 | WebCodecs | レース |
| CVE-2026-5891 | 中 | ブラウザUI | ポリシー実装不足 |
| CVE-2026-5892 | 中 | PWA | ポリシー実装不足 |
| CVE-2026-5893 | 中 | V8 | レース |
| CVE-2026-5894 | 低 | 不適切な実装 | |
| CVE-2026-5895 | 低 | オムニボックス | 不正なセキュリティUI |
| CVE-2026-5896 | 低 | オーディオ | ポリシー回避 |
| CVE-2026-5897 | 低 | ダウンロード | 不正なセキュリティUI |
| CVE-2026-5898 | 低 | オムニボックス | 不正なセキュリティUI |
| CVE-2026-5899 | 低 | 履歴ナビゲーション | 不正なセキュリティUI |
| CVE-2026-5900 | 低 | ダウンロード | ポリシー回避 |
| CVE-2026-5901 | 低 | DevTools | ポリシー回避 |
| CVE-2026-5902 | 低 | メディア | レース |
| CVE-2026-5903 | 低 | IFrameSandbox | ポリシー回避 |
| CVE-2026-5904 | 低 | V8 | Use After Free |
| CVE-2026-5905 | 低 | パーミッション | 不正なセキュリティUI |
| CVE-2026-5906 | 低 | オムニボックス | 不正なセキュリティUI |
| CVE-2026-5907 | 低 | メディア | データ検証不足 |
| CVE-2026-5908 | 低 | メディア | 整数オーバーフロー |
| CVE-2026-5909 | 低 | メディア | 整数オーバーフロー |
| CVE-2026-5910 | 低 | メディア | 整数オーバーフロー |
| CVE-2026-5911 | 低 | ServiceWorkers | ポリシー回避 |
| CVE-2026-5912 | 低 | WebRTC | 整数オーバーフロー |
| CVE-2026-5913 | 低 | Blink | 境界外読み取り |
| CVE-2026-5914 | 低 | CSS | 型の混同 |
| CVE-2026-5915 | 低 | WebML | 信頼できない入力の検証不足 |
| CVE-2026-5918 | 低 | ナビゲーション | 不適切な実装 |
| CVE-2026-5919 | 低 | WebSockets | 信頼できない入力の検証不足 |
翻訳元: https://gbhackers.com/critical-chrome-flaws/
