Googleは今週、Chrome 147の最初の安定版を発表しました。これには60の脆弱性に対するパッチが含まれており、その中には重大と判定された2つが含まれています。
これらの重大な脆弱性は、ブラウザ内で直接機械学習モデルを実行するように設計されたChromeのWebMLコンポーネントの両方に影響を与えています。
匿名の研究者によって報告されたセキュリティホールは、ヒープバッファオーバーフロー(CVE-2026-5858)と整数オーバーフロー(CVE-2026-5859)として説明されています。
報告した研究者は、それぞれの発見に対して43,000ドルを獲得しました。顕著なバグ報奨金と深刻度の評価から、これらの脆弱性はサンドボックスエスケープおよび/またはリモートコード実行を目的とした悪用が可能であることが示唆されています。
Chromeで修正された残りの脆弱性のうち、14は「高」の深刻度レーティングが割り当てられています。
これらの欠陥は、WebRTC、V8、WebAudio、Media、WebML、Angle、Skia、Blinkなどのchromeコンポーネントに影響を与えます。そのほぼ半分はGoogleによって内部で発見され、多くは匿名の研究者によって報告されています。
このテクノロジー企業は、そのうちの2つのみについてバグ報奨金を発表しました。CVE-2026-5860で11,000ドル、CVE-2026-5861で3,000ドルです。
残りのセキュリティホールには「中」と「低」の深刻度レーティングが割り当てられていますが、中程度の深刻度の問題の少なくとも1つは重要であるように見えます。
Googleは、PrivateAIの解放後使用(use-after-free)バグであるCVE-2026-5874に対して、11,000ドルのバグ報奨金を支払いました。
野生での脆弱性の悪用についての言及はありません。
3月下旬、Googleは21の脆弱性にパッチを当てるChrome更新をリリースしました。これには悪意のある攻撃で悪用されたゼロデイが含まれています。
Googleはまた、今週Chromeに新しいセッションクッキー保護をロールアウトしたと発表しました。これは盗まれた認証クッキーを介したアカウント侵害を防ぐためのものです。
