Chrome 0-Day Vulnerability Actively Exploited by Attackers in the Wild
2026/02/16 CyberSecurityNews — Google が発表したのは、Google Chrome に存在する深刻なゼロデイ脆弱性の修正と、実環境での積極的な悪用の確認に関する情報である。この脆弱性 CVE-2026-2441 は、ブラウザの CSS 処理における解放後メモリ使用 (use-after-free) のバグであり、2026年2月12日に独立系研究者の Shaheen Fazim により報告されたものである。この報告からわずか 5日後に、今回のアドバイザリが公開された。
最新の Stable チャネルで 脆弱性 CVE-2026-2441 を公開した Google は、すでにエクスプロイト・コードが存在することを強調しており、ユーザーに対して即時のアップデートを強く推奨している。パッチ未適用の Chrome バージョンは、リモート・コード実行 (RCE) 攻撃に対して脆弱な状況に置かれる。悪意の Web コンテンツを通じてメモリ破壊を仕掛け、任意のコード実行を可能にする攻撃チェーンが残存することになる。
この種の解放後メモリ使用 (use-after-free) の脆弱性は、レンダリング・エンジンにおけるオブジェクト・ライフサイクル管理の不備に起因し、解放済みメモリへのアクセスを許容する設計上の欠陥により発生することが多い。
すでに脆弱性 CVE-2026-2441 は武器化されており、攻撃者による実環境での悪用が始まっている。Windows/macOS/Linux 環境においては、他のエクスプロイトとの連鎖により、サンドボックス・エスケープや権限昇格に至る可能性が高い。Google は悪用中の脆弱性に関するポリシーに基づき、多数のユーザーが更新を完了するまで、技術的詳細の公開を制限している。
脆弱性 CVE-2026-2441 とパッチの詳細
今回のリリースでは、深刻度 High の単一の問題に対処している。
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-2441 | High (TBD) | Use after free in CSS |
修正バージョンは以下の通りである。
| Platform | Patched Versions |
|---|---|
| Windows | 145.0.7632.75/.76 |
| macOS | 145.0.7632.75/.76 |
| Linux | 144.0.7559.75 |
ユーザーにとって必要なことは、Chrome 内蔵のアップデータまたはエンタープライズ管理ツールを通じてアップデートを適用することである。展開は数日から数週間にわたり段階的に実施される。自動更新は既定で有効であるが、高リスク環境では手動での確認が推奨される。
ユーザー組織は、Chrome 環境への優先的なパッチ適用を実施するとともに、異常なネットワーク・トラフィックなどの侵害指標 (IoC:Indicators of Compromise) を監視すべきである。また、米国連邦政府向け勧告として Cybersecurity and Infrastructure Security Agency (CISA) が管理する Known Exploited Vulnerabilities (KEV) カタログを継続的に確認することが望ましい。
今回の脆弱性悪用は、Chrome の CSS 関連ゼロデイの新たなインシデントであり、レンダリング・エンジンのセキュリティにおける持続的な課題を示すものである。国家に支援される脅威アクターや金銭目的の攻撃者が、ブラウザを主要な攻撃対象とする状況下で、アップデートの重要性が一層高まっている。
現時点で具体的な IoC は公開されていないが、脅威アクターたちがフィッシングや侵害済み Web サイトを通じてエクスプロイトを配布する可能性がある。セキュリティ・チームは Chrome のリリース・ログおよび Chromium セキュリティ・ページを参照し、継続的な更新情報を確認すべきである。
Google Chrome の CSS 処理に起因する深刻なゼロデイ脆弱性が修正されました。すでに実環境での悪用が確認されており、きわめて緊急性の高いパッチです。この問題の原因は、Chrome の CSS フォント機能におけるメモリ管理の不備にあります。具体的には、メモリ上のデータ集合をループ処理している最中に、その内容を変更してしまうイテレータの無効化が発生し、すでに解放されたはずの領域をプログラムが参照し続けてしまう Use-After-Free に至ります。悪意の HTML ページをユーザーが読み込むだけで、脆弱性 CVE-2026-2441 が悪用され、ブラウザの保護機能内で任意のプログラムが実行される恐れがあります。Chrome ユーザーは、アップデートをお急ぎください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.