Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw
2026/01/21 gbhackers — Google は、Windows/Mac/Linux プラットフォーム向けの Chrome 144.0.7559.96/.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。
セキュリティ更新の詳細
今回のステイブル・リリースでは、深刻なレース・コンディションの脆弱性 CVE-2026-1220 が修正された。この脆弱性は、V8 における競合状態を引き起こすものであり、攻撃者にメモリ破損や任意コード実行を許す恐れがある。
この欠陥は、2026年1月7日に外部の研究者である @p1nky4745 により報告された。Chrome のバグバウンティ・プログラムの有効性により、広範な悪用に至る前に重大な脅威が特定された。
| CVE ID | Severity | Component | Issue Type |
|---|---|---|---|
| CVE-2026-1220 | High | V8 JavaScript Engine | Race Condition |
V8 におけるレース・コンディションは、複数のスレッドが適切な同期なしに、共有メモリに対して同時にアクセス/変更することで発生する問題である。その結果として、メモリ状態の操作やセキュリティ保護の回避を、攻撃者に対して許す脆弱な状態が生じる。
この種の脆弱性は、ユーザーに対する深刻なリスクを引き起こす。その悪用に成功した攻撃者は、ブラウザのセキュリティ・コンテキスト内で悪意のコードを実行する可能性がある。
Google のセキュリティ・チームは、この脆弱性を特定および検証するために、複数の検出メカニズムを用いたという。具体的には、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity Check/libFuzzer/AFL (American Fuzzy Lop) などが活用された。
これらの自動ファジングとサニタイズのツールは、Chrome のコードベースを継続的にスキャンし、メモリ安全性の問題や未定義動作を、事前に検出する役割を担っている。
いつものように Google が強調するのは、未修正システムを標的とする攻撃を防ぐため、大多数のユーザーがパッチを受け取るまで、バグの詳細情報を制限していることだ。また、他のプロジェクトが依存するサードパーティ・ライブラリに脆弱性が存在する場合には、影響を受けるすべてのプロジェクトが修正を展開するまで、情報へのアクセス制限が継続される。
すべてのユーザーにとって必要なことは、アップデートが提供され次第、Chrome 144 を速やかに更新することである。エンタープライズ環境で Chrome の展開を管理している組織は、この更新の適用を最優先事項として扱う必要がある。
この更新後に、安定性の問題などが発生したユーザーは、Chrome のバグトラッカーやコミュニティヘルプ・フォーラムを通じて問題を報告してほしいと、Google は述べている。
Google Chrome の V8 JavaScript エンジンに、アカウント乗っ取りの恐れのある深刻な脆弱性 CVE-2026-1220 が見つかりました。この問題の原因は、プログラムが複数の処理を同時に行う際に発生する、レース・コンディション (競合状態) という設計上の不備にあります。具体的には、V8 エンジンがデータの読み書きを行う際、複数の処理が適切な順番を守らずに、共有メモリへ同時にアクセスする状況が生じます。この隙を攻撃者に悪用され、メモリの内容が書き換えられてしまうと、ブラウザ上での任意のコード実行に至る可能性があります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.