Googleは、31の脆弱性に対処するため、Chromeウェブブラウザの緊急セキュリティアップデートをリリースしました。そのうち5つは重大度「重大」と評価されています。安定チャネルはWindows、Mac向けにバージョン147.0.7727.101/102に、Linux向けに147.0.7727.101にアップデートされました。
このアップデートは今後数日から数週間にかけて世界中でロールアウトされています。任意のコード実行とメモリ破損攻撃から保護するため、ユーザーはブラウザを直ちにアップデートすることを強く推奨されています。
このアップデートで修正された最も深刻な脆弱性は、ユーザーを悪意を持ったHTMLページに誘導することにより、リモート攻撃者が任意のコード実行を許可する可能性があります。
悪用に成功した場合、攻撃者は不正アクセス、システムデータの操作、またはブラウザの完全なクラッシュを引き起こす可能性があります。重大な欠陥はANGLE、Proxy、Skia、Prerender、XRを含むChromeのコアコンポーネントに影響を与えます。
「Use after free」や「Heap buffer overflow」などのメモリ安全性バグがこのパッチサイクルの大部分を占めており、ブラウザメモリを安全に管理する継続的な課題を強調しています。
継続的な脆弱性報酬プログラムの一環として、Googleは責任を持ってこれらの欠陥を報告した独立したセキュリティ研究者に実質的な報奨金を支払いました。
最高の報酬は、2026年3月5日に報告されたANGLEコンポーネント(CVE-2026-6296)の重大なHeap buffer overflow脆弱性に対する$90,000でした。
別の研究者は、Proxyコンポーネント(CVE-2026-6297)のUse-after-free問題を発見したことに対して$10,000を受け取りました。他の複数の高重度脆弱性の報酬はまだ技術大手によって決定されていません。
軽減措置とアップデート
Googleは、ユーザーの大多数が必要な修正をインストールするまで、特定のバグの詳細とエクスプロイトリンクへのパブリックアクセスを制限することがよくあります。この遅延は、脅威行為者がシステムがパッチされる前に脆弱性を兵器化することを防ぎます。
それまでの間、ブラウザのアップデートはすべての個人および組織の最優先事項である必要があります。
システムが保護されていることを確認するには、Chromeメニュー(右上の3つの縦ドット)に移動し、「ヘルプ」を選択して、「Chromeについて」をクリックしてください。
ブラウザは自動的に最新バージョンをチェックし、アップデートをダウンロードし、インストールが完了したら再起動するよう促します。
このアップデートは合計31のセキュリティ欠陥にパッチを当てています。以下は、このリリースで対処された公開されたCommon Vulnerabilities and Exposures(CVE)の包括的な表です:
| CVE ID | 重大度 | 脆弱性タイプ | コンポーネント |
|---|---|---|---|
| CVE-2026-6296 | Critical | Heap buffer overflow | ANGLE |
| CVE-2026-6297 | Critical | Use after free | Proxy |
| CVE-2026-6298 | Critical | Heap buffer overflow | Skia |
| CVE-2026-6299 | Critical | Use after free | Prerender |
| CVE-2026-6358 | Critical | Use after free | XR |
| CVE-2026-6359 | High | Use after free | Video |
| CVE-2026-6300 | High | Use after free | CSS |
| CVE-2026-6301 | High | Type Confusion | Turbofan |
| CVE-2026-6302 | High | Use after free | Video |
| CVE-2026-6303 | High | Use after free | Codecs |
| CVE-2026-6304 | High | Use after free | Graphite |
| CVE-2026-6305 | High | Heap buffer overflow | PDFium |
| CVE-2026-6306 | High | Heap buffer overflow | PDFium |
| CVE-2026-6307 | High | Type Confusion | Turbofan |
| CVE-2026-6308 | High | Out of bounds read | Media |
| CVE-2026-6309 | High | Use after free | Viz |
| CVE-2026-6360 | High | Use after free | FileSystem |
| CVE-2026-6310 | High | Use after free | Dawn |
| CVE-2026-6311 | High | Uninitialized Use | Accessibility |
| CVE-2026-6312 | High | Insufficient policy enforcement | Passwords |
| CVE-2026-6313 | High | Insufficient policy enforcement | CORS |
| CVE-2026-6314 | High | Out of bounds write | GPU |
| CVE-2026-6315 | High | Use after free | Permissions |
| CVE-2026-6316 | High | Use after free | Forms |
| CVE-2026-6361 | High | Heap buffer overflow | PDFium |
| CVE-2026-6362 | High | Use after free | Codecs |
| CVE-2026-6317 | High | Use after free | Cast |
| CVE-2026-6363 | Medium | Type Confusion | V8 |
| CVE-2026-6318 | Medium | Use after free | Codecs |
| CVE-2026-6319 | Medium | Use after free | Payments |
| CVE-2026-6364 | Medium | Out of bounds read | Skia |
翻訳元: https://gbhackers.com/critical-chrome-flaws-allow-arbitrary-code-execution/
