Chrome Security Update Fixes Critical Vulnerability in Background Fetch API
2026/01/28 gbhackers — Google が公開したのは、セキュリティ上のリスクをもたらす可能性のある、Background Fetch API の深刻な脆弱性 CVE-2026-1504 に対処する、デスクトップ向け Chrome Stable Channel のアップデートである。最新の Chrome バージョンは、Windows および macOS 向けが 144.0.7559.109/144.0.7559.110、Linux 向けが 144.0.7559.109 である。すでに段階的な配信が開始されており、今後の数日から数週間かけて提供されていく。
いつものとおり Google は、修正が大多数のユーザーに行き渡るまでの間は、脆弱性情報の提供を一時的に制限している。したがって、この欠陥に関する詳細な技術情報は、現時点では公開されていない。
| CVE ID | Severity | Component | Type | Reporter |
|---|---|---|---|---|
| CVE-2026-1504 | High | Background Fetch API | Inappropriate implementation | Luan Herrera (@lbherrera_) |
修正された脆弱性 CVE-2026-1504 の深刻度は High と評価され、その原因は、Background Fetch API における不適切な実装にあると説明されている。
この脆弱性は、2026年1月9日にセキュリティ研究者である Luan Herrera (@lbherrera_) により報告され、Google から $3,000 のバグバウンティが提供されている。
Background Fetch API は、ブラウザのタブが閉じられている場合であっても、Web サイトからの大容量ファイルのダウンロードを、バックグラウンドで実行する機能である。
このコンポーネントにおける実装上の欠陥が悪用されると、セキュリティ境界の回避/権限処理の不備/バックグラウンド・リクエストの不安全でない処理などが引き起こされる可能性がある。
前述のとおり、現時点で Google は悪用手法の詳細を開示していないが、High 評価が付与されていることから、攻撃が成功した場合には、ユーザーのセキュリティ/プライバシーに影響が生じると示唆される。
Google の標準的な対応として、Chrome 利用者の大多数が更新を完了するまで、完全なバグレポートおよびエクスプロイトの詳細は非公開とされている。それは、脅威アクターによる実環境での悪用リスクを低減するための措置である。
また、この脆弱性がサードパーティ・ライブラリにも存在する場合には、他プロジェクトが修正を行うための猶予を確保する目的で、情報制限がより長期間継続される可能性もある。
Google のツール群である、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity/libFuzzer/AFL などにより、多くのセキュリティ問題を開発段階の早期に検出できたと、同社は評価している。
ユーザーに対して強く推奨されるのは、ブラウザに内蔵された更新機構を用いて、可能な限り速やかに Chrome を更新することで、CVE-2026-1504 や潜在的なセキュリティ脆弱性から保護することである。
Google Chrome に存在する、深刻な脆弱性 CVE-2026-1504 を修正する緊急アップデートが公開されました。この問題の原因は、大容量ファイルのダウンロードを、ブラウザのタブを閉じた後も継続させる Background Fetch API の不適切な実装にあります。
この脆弱性は、セキュリティ研究者の Luan Herrera により報告され、深刻度は High (高) と評価されています。悪用を防ぐために、現時点では詳細な攻撃手法が非公開とされていますが、Background Fetch API の実装ミスを突かれることで、セキュリティ境界の回避や、ユーザーのプライバシーに影響が生じ得ると示唆されています。ご利用のチームは、アップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.