Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions
2026/01/07 CyberSecurityNews — Google が公表したのは、WebView タグ・コンポーネントに存在する重大度の高い脆弱性 CVE-2026-0628 に対処するための、Chrome ブラウザ緊急セキュリティ・アップデートの情報である。この脆弱性を悪用する攻撃者は、重要なセキュリティ制限を回避する可能性があるため、ユーザーにとって深刻なリスクとなる。このアップデートにより、Windows/macOS 向けの Chrome バージョン 143.0.7499.192/.193 と、Linux 向けの Chrome バージョン 143.0.7499.192 が Stable チャンネルを通じて提供される。更新は、今後の数日から数週間をかけて段階的に展開される予定である。
脆弱性 CVE-2026-0628 は、WebView タグ・コンポーネントにおける不十分なポリシー適用に起因し、深刻度は High と評価されている。
| CVE ID | Severity | Component | Description |
|---|---|---|---|
| CVE-2026-0628 | High | WebView tag | Insufficient policy enforcement in the WebView tag. |
WebView の脆弱性によりアプリが攻撃にさらされる
WebView は Chrome の重要コンポーネントであり、ブラウザ自体を立ち上げない状態で、アプリケーション内のインターフェイス内に Web コンテンツを表示させるものだ。
この仕組みを悪用する攻撃者は、セキュリティ制御を回避しながら不正アクセス/情報漏洩を可能にするほか、WebView を利用するアプリケーション上で悪意のコード実行を引き起こす可能性がある。
Google は情報開示における原則に基づき、大多数のユーザーがパッチを適用するまで、当該脆弱性に関する詳細な技術情報へのアクセスを一時的に制限している。この措置により、更新が行き渡る前に、脅威アクターが脆弱性を武器化するリスクが低減される。
Google は、外部のセキュリティ研究者による貢献に謝意を示し、協調的なセキュリティ体制の重要性を強調している。また、同社は開発段階において、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity/libFuzzer/AFL などの複数の検出技術を活用し、脆弱性の早期発見に取り組んでいる。
ユーザーにとって必要なことは、[設定] > [ヘルプ] > [Google Chrome について] から、Chrome の最新バージョンへと速やかにアップデートすることだ。この操作により、Chrome は利用可能なアップデートを自動的に確認し、インストールを行う。
エンタープライズ環境で Chrome を利用している組織においては、このセキュリティ・アップデートを優先的に展開することが求められる。
今後も Google は、バグ報奨金プログラムを通じて脆弱性報告を奨励し、世界中のユーザーを保護するための継続的なセキュリティ強化を進めていく方針である。
Chrome の重要なコンポーネントである WebView タグに、不十分なセキュリティ・ポリシー適用が発見されました。WebView は、アプリ内で Web サイトを表示するための便利な機能であり、外部からの怪しい操作を遮断するルール (ポリシー) が働かなければなりません。そのルールを適用するプロセスに不備があり、許してはならない操作が実行されるリスクが生じてしまいました。ご利用のチームは、ご注意ください。よろしければ、Chromeでの検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.