PoC Released for Critical Chrome 0-day Vulnerability Exploited in the Wild
2026/02/20 CyberSecurityNews — Google が公開したのは、Chrome の Blink CSS エンジンに存在する深刻な use-after-free のゼロデイ脆弱性 CVE-2026-2441 に対する Proof-of-Concept (PoC) エクスプロイトの情報である。Google は、この脆弱性が実環境で積極的に悪用されていることを確認している。 この欠陥は、2026年2月11日にセキュリティ研究者 Shaheen Fazim により報告されたものであり、その 2 日後に Google は緊急パッチで対応している。 2026年における、最初の Chrome ゼロデイ脆弱性は、Chrome の Blink CSS エンジン内の CSSFontFeatureValuesMap コンポーネントに存在する。
その原因は、イテレーター無効化の欠陥である。具体的には、FontFeatureValuesMapIterationSource が、内部の FontFeatureAliases HashMap への raw ポインタ (const FontFeatureAliases* aliases_) を保持する点にある。反復中において、set()/delete() により HashMap が変更されると再ハッシュが実行され、新たなストレージが確保されると同時に旧ブロックが解放される。これにより raw ポインタはダングリング状態となり、その後の FetchNextItem() 呼び出しが、解放済みメモリを読み取ることで use-after-free 条件が発生する。
Google の修正は、raw ポインタを HashMap のディープ・コピーへと置き換えるものであり、再ハッシュの影響を受けない独立したスナップショット上で、イテレーターが動作することを保証する。
| Platform | Vulnerable | Fixed |
|---|---|---|
| Windows / macOS (Stable) | < 145.0.7632.75 | >= 145.0.7632.75 |
| Linux (Stable) | < 144.0.7559.75 | >= 144.0.7559.75 |
| Windows / macOS (Extended Stable) | < 144.0.7559.177 | >= 144.0.7559.177 |
| Chromium-based (Edge, Brave, Opera, Vivaldi) | Check vendor advisory | Varies |
PoC のメカニズムと影響
公開された PoC は、3 種類の手法により UAF をトリガーする。それらを列挙すると、entries() イテレータと変更ループの組み合わせ/for…of ループ中の削除とヒープ・スプレーのコンカレント実行/反復中にレイアウト再計算を強制する requestAnimationFrame ベースの手法となる。それぞれの手法は、50 個の同一サイズの @font-feature-values CSS ルールを事前に確保するヒープ・グルーミングを組み込み、ヒープ・レイアウトの予測可能性を高めることで悪用を成功させるものだ。
未修正の Chrome バージョンでは、Windows においては STATUS_ACCESS_VIOLATION により、また、Linux/macOS においては SIGSEGV により、レンダラ・プロセスがクラッシュする。それが示すのは、ダングリング・ポインタが解放済みメモリへアクセスしていることである。
直接的な影響は、Chrome レンダラ・サンドボックス内に限定される。ただし、サンドボックス化されたプロセス内での任意コード実行/ASLR 回避を目的とする、V8 ヒープ・ポインタによる情報漏洩/document.cookie/localStorage へのアクセスによる認証情報窃取/トークン漏洩によるセッション・ハイジャックが可能となる。別のサンドボックス・エスケープの脆弱性と連鎖した場合には、この UAF はシステム全体を侵害するチェーンの最初のリンクとなる。このパターンは、NSO Group の Pegasus (WebKit UAF)/Intellexa の Predator/APT28 による Chrome ゼロデイ・キャンペーンでも過去に確認されている。
この脆弱性は、ドライブ・バイ・ダウンロードによる悪用が可能であり、悪意のページへのアクセス以外のユーザー操作を必要としない。したがって、マルバタイジング/ウォータリング・ホール攻撃/スピア・フィッシング攻撃の配信に適している。
米国の Cybersecurity and Infrastructure Security Agency (CISA) は CVE-2026-2441 を Known Exploited Vulnerabilities (KEV) カタログへ追加した。Windows/macOS では 145.0.7632.75 以降へ、Linux では 144.0.7559.75 以降へと、ユーザーは直ちに更新すべきである。
Chromium ベース・ブラウザ利用者は、Microsoft Edge/Brave/Opera/Vivaldi の各ベンダー・パッチを入手次第、直ちに適用すべきである。管理者は “chrome://flags/#site-isolation-trial-opt-out” により Site Isolation が有効化されていることを確認し、すべてのエンドポイントにおける旧版 Chrome の展開状況を監査すべきである。
Google Chrome の Blink エンジンにおけるゼロデイ脆弱性 CVE-2026-2441 は、CSSのフォント機能におけるメモリ管理の致命的な不備を突くものです。すでに実環境での悪用が確認されており、詳細な PoC エクスプロイトも公開されているため、きわめて危険な状態にあります。この脆弱性の核心は、プログラムがメモリ上のデータ HashMap を順番に処理 (イテレーション) している最中に、そのデータ自体を書き換えてしまうことにあります。具体的には、データの追加や削除によってメモリの再配置 (再ハッシュ) が起こると、古いメモリ領域が解放されます。しかし、プログラムが古い場所を指す raw ポインタを保持し続けているため、解放後のメモリにアクセスしてしまう Use-After-Free (UAF) が発生します。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.