Google Releases Emergency Chrome Update to Fix 10 Security Vulnerabilities
2026/03/05 CyberSecurityNews — Google が公開したのは、Chrome 向けの重大なセキュリティ・アップデートであり、Windows/Mac 向けの 145.0.7632.159/160 と Linux 向けの 145.0.7632.159 が、すでに Stable チャネルでリリースされている。このアップデートでは 10 件の脆弱性が修正され、そのうちの 3 件は Critical と評価されている。今後の数日から数週間をかけて、順次展開されるという。
今回のリリースは、独立系セキュリティ研究者および Google 内部チームによる責任ある開示を受けたものである。単一の脆弱性に対して、最大で $33,000 のバグバウンティが支払われた。
Google の方針により、ユーザーの大多数が修正版を受信するまで詳細情報は制限されるが、ブラウザの速やかなアップデートが強く推奨される。
Critical/High と評価される複数の脆弱性
修正された 10 件の脆弱性のうち、3 件は Critical 評価である。
1 件目は、最も注目される Critical 脆弱性は CVE-2026-3536 であり、Chrome の ANGLE グラフィック・レイヤにおける整数オーバーフローの欠陥に起因する。この脆弱性は、2026年2月18日に cinzinga により報告され、$33,000 の報奨金が支払われた。
2 件目の Critical 脆弱性 CVE-2026-3537 は、PowerVR におけるオブジェクト・ライフサイクルの問題である。2026年1月8日に KunLun Lab の Zhihua Yao により報告され、$32,000 が支払われた。
3 件目の Critical 脆弱性 CVE-2026-3538 は、Skia グラフィック・エンジンにおける整数オーバーフローの欠陥であり、2026年2月17日に Symeon Paraschoudis により報告された。
残る 7 件の脆弱性は、V8/WebAssembly/CSS/Navigation など複数の Chrome サブシステムにまたがるものであり、いずれも深刻度 High と評価されている。
| CVE ID | Severity | Component | Type | Reporter |
|---|---|---|---|---|
| CVE-2026-3536 | Critical | ANGLE | Integer Overflow | cinzinga |
| CVE-2026-3537 | Critical | PowerVR | Object Lifecycle Issue | Zhihua Yao, KunLun Lab |
| CVE-2026-3538 | Critical | Skia | Integer Overflow | Symeon Paraschoudis |
| CVE-2026-3539 | High | DevTools | Object Lifecycle Issue | Zhenpeng (Leo) Lin, depthfirst |
| CVE-2026-3540 | High | WebAudio | Inappropriate Implementation | Davi Antônio Cruz |
| CVE-2026-3541 | High | CSS | Inappropriate Implementation | Syn4pse |
| CVE-2026-3542 | High | WebAssembly | Inappropriate Implementation | qymag1c |
| CVE-2026-3543 | High | V8 | Inappropriate Implementation | qymag1c |
| CVE-2026-3544 | High | WebCodecs | Heap Buffer Overflow | c6eed09fc8b174b0f3eebedcceb1e792 |
| CVE-2026-3545 | High | Navigation | Insufficient Data Validation |
Google のアドバイザリによると、その影響が及ぶ範囲は以下の通りであり、現代のブラウザが持つ広範な攻撃対象領域を反映するものとなっている。
- グラフィック描画:ANGLE/Skia/PowerVR
- JavaScript 実行:V8
- マルチメディア:WebAudio/WebCodecs
- Web 標準:CSS/WebAssembly
それらの中の、整数オーバーフロー/ヒープバッファ・オーバーフローの脆弱性は、リモートコード実行やサンドボックス・エスケープに悪用されることが多い。
Google は開発パイプライン内で、AddressSanitizer/MemorySanitizer/libFuzzer/AFL などの自動検出ツールを使用し、Stable チャネルへ到達する前にメモリ安全性の問題を検出している。
推奨される対応策
- Settings → Help → About Google Chrome へ移動して Chrome を更新。
- Enterprise 管理者は、ポリシーを通じて管理端末へアップデートを配布。
- アップデートの展開完了後に、Chrome Security Page で結果を確認。
- 新規問題は crbug.com へ報告。
現時点で、これら 10 件の脆弱性について、実環境での悪用証拠は確認されていない。ただし、Critical 評価であるため、すべてのプラットフォーム利用者にとって迅速なパッチ適用が最優先事項となる。
Google Chrome において、3 件の Critical を含む、合計で 10 件の脆弱性が修正されました。一連の問題の原因は、グラフィック描画エンジン (ANGLE/Skia) やメモリ管理システムにおける整数オーバーフローの欠陥や、プログラムの終了処理の不備などにあります。これらの欠陥を悪用する攻撃者は、悪意のあるサイトを構築して、それらを閲覧するブラウザのサンドボックスを突破し、PC 内で不正なプログラムを実行する可能性を得ます。
現時点において、実環境での悪用は報告されていません。ただし、きわめてリスクが高い脆弱性であるため、すべての Chrome ユーザーは、Windows/Mac/Linux 版の最新バージョンへと更新し、再起動を完了する必要があります。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.