Googleは緊急のChrome 147セキュリティアップデートをリリースし、攻撃者が任意のコードを実行し、影響を受けるシステムを完全に侵害する可能性がある複数の高リスク脆弱性に対する修正を行いました。
2026年4月7日にリリースされたこのアップデートは、WindowsおよびMac、Linuxユーザーが利用でき、世界中で段階的に展開されています。
セキュリティ専門家は、いくつかの欠陥は悪質なウェブページにアクセスすること以上のユーザー操作を必要とせず、悪用のリスクを著しく増加させると警告しています。
このリリースの中心には、CVE-2026-5858およびCVE-2026-5859として追跡されるWebMLコンポーネントの2つの重大な脆弱性があります。
これらの欠陥はヒープバッファオーバーフローおよび整数オーバーフロー問題を含み、どちらもリモートコード実行を可能にします。
Googleは、これらの問題を責任を持って開示した研究者に43,000ドルのバグ報奨金を授与し、その重大性を強調しています。
重大なバグを超えて、Chrome 147はV8、WebRTC、Blink、Media、Skia、ANGLEなどの主要コンポーネント全体にわたって、広範な高重大度の脆弱性を修正します。
これらには、解放後使用エラー、型混乱、および境界外メモリアクセス欠陥が含まれます。成功した悪用により、ブラウザのクラッシュ、データ漏洩、またはシステム全体の乗っ取りが発生する可能性があります。
この調整された開示アプローチにより、ユーザーはパッチを適用する時間を確保でき、共有ライブラリに依存するダウンストリームプロジェクトも保護されます。
合計すると、アップデートはポリシーバイパス、競争状態、不十分な入力検証などの中程度および低リスク問題を含む、重大度レベル全体にわたる数十の脆弱性に対処しています。
これらの欠陥で最も懸念される側面は、その悪用の容易さです。攻撃者は、訪問時にメモリ破損脆弱性をトリガーする悪質なウェブサイトを作成できます。
たとえば、フィッシングリンクをクリックした被害者は、知らないうちに背景で攻撃者制御のコードを実行し、マルウェアのインストールまたは認証情報の盗難につながる可能性があります。
ユーザーおよびエンタープライズ管理者は、Chromeを直ちに更新することを強くお勧めします。最新バージョンは以下を含みます:
活動的な脅威環境と、これらの脆弱性の重大な性質を考えると、更新を遅延させるとシステムが現実世界の攻撃にさらされる可能性があります。
翻訳元: https://cyberpress.org/chrome-vulnerabilities-2/