Google Chrome の脆弱性 CVE-2026-1861/1862 が FIX:任意コード実行とシステム・クラッシュの恐れ

Chrome Vulnerabilities Let Attackers Execute Arbitrary Code and Crash System

2026/02/04 CyberSecurityNews — Google は Chrome の 2 件の深刻な脆弱性 CVE-2026-1861/CVE-2026-1862 (High) に対処し、Stable チャネルでセキュリティ更新をリリースした。これらの脆弱性を悪用する脅威アクターは、潜在的な任意コード実行 (ACE) /サービス拒否 (DoS) 攻撃にユーザーを晒す可能性がある。 このアップデートにより、Chrome のバージョンは Windows/macOS 144.0.7559.132/.133、Linux 144.0.7559.132 へ引き上げられている。

Google によると、この更新は今後の数日から数週間をかけて段階的にロール・アウトされる。今回の修正は、ブラウザの JavaScript エンジンや動画処理ライブラリ内に存在する、メモリ破損の問題を主な対象としている。

今回の更新で修正された 2 件の脆弱性は、いずれも High に分類されるセキュリティ欠陥に起因する。これらの脆弱性の悪用の前提として、細工された Web サイトのユーザーによる閲覧が必要となる。それにより、ブラウザのレンダラ・プロセス内でエクスプロイトがトリガーされる。

CVE-2026-1862:タイプ・コンフュージョンの脆弱性

最も深刻な欠陥は、Google のオープン・ソース JavaScript エンジン/WebAssembly エンジンである V8 に存在する。このタイプ・コンフュージョンの脆弱性は、たとえば整数をポインタとして扱わせるといった挙動により、本来とは異なる型のメモリ・リソースへのアクセスが実行されることで引き起こされる。

V8 のタイプ・コンフュージョン・バグを悪用する攻撃者は、メモリ・ポインタを操作することで境界外メモリの Read/Write が可能となる。その結果、サンドボックス化されている環境内であっても、最終的に任意コード実行へと至る可能性がある。この脆弱性は、研究者 Chaoyuan Peng (@ret2happy) により報告された。

CVE-2026-1861:ヒープバッファ・オーバーフローの脆弱性

2 件目の脆弱性は、VP8/VP9 動画コーデック形式のリファレンス実装である libvpx に存在する。このヒープバッファ・オーバーフローの脆弱性は、固定長のメモリ・バッファに対して、許容量を超えるデータを書き込もうとする際に発生する。

この脆弱性を悪用する攻撃者は、細工した動画ストリームを Web ページに埋め込むことで、Chrome が libvpx を使用して動画を処理する際に、ヒープ領域上の隣接メモリを破損させる可能性を得る。その結果、通常はブラウザ・クラッシュを引き起こすが、他の脆弱性と組み合わせることで、コード実行へと連鎖する可能性も否定できない。

CVE IDSeverityDescriptionComponentReported By
CVE-2026-1862HighType ConfusionV8 EngineChaoyuan Peng
CVE-2026-1861HighHeap Buffer OverflowlibvpxGoogle Internal
緩和策

これらの脆弱性の、実環境でのゼロデイ攻撃としての悪用ついて、Google は明らかにしていない。この判断は、大多数のユーザーが更新を完了するまで、詳細なバグ情報を制限するという同社の方針によるものである。

しかし、V8 におけるタイプ・コンフュージョンやヒープバッファ・オーバーフロー脆弱性の性質を踏まえると、武器化のリスクは高いと評価される。

ユーザーは、Chrome を起動し、「メニュー」>「ヘルプ」>「Google Chrome について」に移動して更新を確認した上で、バージョン 144.0.7559.132 以降へ更新し、再起動を実施する必要がある。

この問題の原因は、Google Chrome のメモリ処理における不備にあります。具体的には、JavaScript エンジンである V8 において、データ・タイプを正しく識別せずに誤ったメモリ領域を操作してしまうタイプ・コンフュージョンの脆弱性と、動画処理ライブラリである libvpx において、用意されたメモリ枠を越えてデータを書き込んでしまうヒープバッファ・オーバーフローの脆弱性という、2 つの不具合が発生しています。これらの不備がある状態で悪意のあるWebサイトを閲覧すると、ブラウザが処理を誤り、最悪の場合にはコンピュータ内での外部プログラムの実行や、ブラウザの強制終了に至る恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。