Chrome Security Update – Patch for Vulnerabilities that Enables Code Execution Attacks
2026/02/12 CyberSecurityNews — Google が公表したのは、ユーザー・システム上で悪意のコード実行を引き起こす 11 件のセキュリティ脆弱性を修正した Chrome 145 を、Windows/Mac/Linux 向けの Stable チャネルでリリースしたことである。このアップデートは、今後の数週間をかけて順次展開されるが、複数の深刻な修正を含むため、即時の対応が推奨される。最も深刻な脆弱性 CVE-2026-2313 は、CSS における use-after-free 脆弱性であり、発見者には $8,000 の報奨金が支払われた。
この深刻なバグを悪用する攻撃者は、Chrome の CSS 処理における欠陥を突くことで任意コード実行を可能にする。この問題は、2025年12月に HexHive および University of St. Andrews の研究者たちにより特定された。
さらに 2 件の高深刻度の脆弱性が修正された。CVE-2026-2314 は Codecs におけるヒープバッファ・オーバーフロー、CVE-2026-2315 は WebGPU における不適切な実装であり、いずれもコード実行に悪用され得る。これら 2 件は、Google 社内のセキュリティ・チームにより発見された。
| CVE ID | Severity | Vulnerability Type | Component | Bounty |
|---|---|---|---|---|
| CVE-2026-2313 | High | Use after free | CSS | $8,000 |
| CVE-2026-2314 | High | Heap buffer overflow | Codecs | N/A |
| CVE-2026-2315 | High | Inappropriate implementation | WebGPU | N/A |
| CVE-2026-2316 | Medium | Insufficient policy enforcement | Frames | $5,000 |
| CVE-2026-2317 | Medium | Inappropriate implementation | Animation | $2,000 |
| CVE-2026-2318 | Medium | Inappropriate implementation | PictureInPicture | $1,000 |
| CVE-2026-2319 | Medium | Race condition | DevTools | $1,000 |
| CVE-2026-2320 | Medium | Inappropriate implementation | File input | TBD |
| CVE-2026-2321 | Medium | Use after free | Ozone | N/A |
| CVE-2026-2322 | Low | Inappropriate implementation | File input | $1,000 |
| CVE-2026-2323 | Low | Inappropriate implementation | Downloads | $500 |
なお、今回のアップデートでは、Frames におけるポリシー強制不足や、DevTools における競合状態などの、7 件の Medium レベルの脆弱性が修正された。
Animation/PictureInPicture/File input などの、複数コンポーネントにおける不適切な実装も対象となった。これらの脆弱性を悪用する攻撃者は、セキュリティ制限を回避し、ブラウザ挙動の操作を可能にする。
File input および Downloads に関する 2 件の Low レベル脆弱性も修正されたが、即時のリスクは低いとされる。
Google は責任ある開示を行ったセキュリティ研究者たちに対して、合計で $18,500 超の報奨金を支払った。最も高額な報奨は、実環境での悪用の前に、重大な欠陥を特定した学術研究者および独立セキュリティ専門家に授与された。
ユーザーにとって必要なことは、Chrome の 145.0.7632.45 (Linux) および 145.0.7632.45/46 (Windows/Mac) へ向けた速やかなアップデートである。
通常、Chrome ブラウザは自動更新されるが、”About Chrome” メニューからの手動での確認も可能である。
Google は AddressSanitizer/MemorySanitizer/libFuzzer などの高度な検出ツールを活用し、開発段階で脆弱性を特定することで、多くのセキュリティ問題がエンドユーザーへ到達することを防止している。
数多くのユーザーに利用されているブラウザ Google Chrome において、外部からの攻撃を許してしまう複数の深刻な脆弱性が発見されました。この問題の原因は、Webサイトのデザインを指定する CSS の処理や、動画データを扱う Codecs といった機能において、メモリの管理やデータの受け渡しルールが適切に守られていなかったことにあります。特に、一度解放したメモリ領域を誤って再利用してしまう Use-after-free という不備 (CVE-2026-2313) が悪用されると、悪意のサイトを閲覧しただけで、ブラウザを通じて PC 内でプログラムが実行 (コード実行) される恐れがあります。ご利用のユーザーは、アップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.