GoogleとMozillaは火曜日、複数のメモリセーフティ脆弱性に対処するChromとFirefoxユーザー向けの新しいセキュリティ更新を発表しました。
新しいChrome 147更新は30個のセキュリティ修正とともにロールアウトされており、外部研究者により報告された4つの重大度が高いuseafter-freeの欠陥が含まれています。
CVE-2026-7363、CVE-2026-7361、CVE-2026-7344、およびCVE-2026-7343として追跡されている、これらのバグはCanvas、iOS、Accessibility、およびViewsブラウザコンポーネントに影響を与えます。
Use-after-free問題は、アプリケーションが割り当て解除されたメモリを指し続けるときに発生するメモリセーフティ欠陥の一種であり、任意のコード実行、情報開示、またはクラッシュにつながる可能性があります。
今週Chromeで対処された残りの26個のフロー中ほぼすべてはメモリセーフティバグであり、16個の高重大度のuse-after-free問題が含まれます。高重大度の境界外アクセス、バッファオーバーフロー、および型混乱バグも対処されました。
Googleによると、解決された4つのセキュリティ欠陥に対して$30,000のバグ報奨金を配分し、最高額($16,000)はGPUコンポーネントのuse-after-free問題に対して支払われました。
解決された脆弱性のほとんどはGoogleの独自のチームによって報告されましたが、すべての報奨金が開示されると最終金額ははるかに高くなる可能性があります。
最新のChromeイテレーションは、WindowsおよびmacOSではバージョン147.0.7727.137/138として、Linuxではバージョン147.0.7727.137としてロールアウトされています。
火曜日、Mozilla は発表しましたCVE-2026-7322、CVE-2026-7323、およびCVE-2026-7324として一括して追跡されている重大度が高いおよび高重大度のメモリセーフティバグを含む4つのセキュリティ欠陥の修正を含むFirefox 150.0.1のリリース。
「これらのバグの中には、メモリ破損の証拠を示したものもあり、十分な努力があれば、これらの一部は任意のコードを実行するために悪用される可能性があると推定されます」とMozillaは各CVEについて述べています。
CVE-2026-7320として追跡される4番目の問題は、Audio/Videoコンポーネント内の不正確な境界条件に根ざした情報開示バグとして説明されています。
これらのセキュリティ欠陥の修正は、新しくリリースされたFirefox ESR 140.10.1およびFirefox ESR 115.35.1にも含まれています。前者は中重大度のサンドボックス回避にも対処しています。
翻訳元: https://www.securityweek.com/chrome-147-firefox-150-security-updates-rolling-out/
