Google が Chrome 146 を正式リリース:リモート・コード実行などの 29 件の脆弱性を修正

Chrome Security Update – Patch for 29 Vulnerabilities that Allow Remote Code Execution

2026/03/12 CyberSecurityNews — Google は Chrome のバージョン 146 を正式リリースし、Windows/Mac/Linux ユーザー向けのステイブル・チャネルでアップデートの提供を開始した。今後の数日以内に展開されるのは、Linux 向け Chrome 146.0.7680.71、Windows/Mac 向け 146.0.7680.71 および 146.0.7680.72 であり、29 件のセキュリティ脆弱性に対処するものだ。これらの脆弱性が、修正されないまま放置されると、リモート攻撃者による任意コード実行/システム整合性の侵害/サービス拒否 (DoS) を招く恐れがある。

今回のリリースで修正された、最も深刻な脆弱性 CVE-2026-3913 (Critical)は、WebML コンポーネントに存在する深刻なヒープバッファ・オーバーフローの欠陥である。このメモリ破損の問題は、セキュリティ研究者 Tobias Wienand により発見され、$33,000 のバグバウンティが支払われた。ヒープバッファ・オーバーフローは、割り当てられたサイズを超えて、プログラムがメモリ領域にデータを書き込む場合に発生する。

この弱点を悪用する攻撃者は、隣接するメモリ構造を上書きする可能性がある。たとえば、細工された悪意ある Web ページを、ユーザーが閲覧するだけでリモート・コード実行 (RCE) に至る恐れがある。

深刻な脆弱性を修正

この Critical な欠陥に加えて、Google は 11 件の深刻度 High の脆弱性を修正した。今回の更新サイクルでは、頻繁に標的化されている WebML API の深刻なバグ 2 件 CVE-2026-3914/CVE-2026-3915 (High) に対して、それぞれ $43,000 のバグバウンティが支払われた。

その他の重要な深刻度 High の修正には、複数のブラウザ・コンポーネントに存在する境界外読み取り (out-of-bounds read)/解放済みメモリ使用 (UAF:use after free) の脆弱性が含まれる。UAF の欠陥は、既に解放されたメモリへのアクセスを、プログラムが試みる場合に発生する。攻撃者たちは、ブラウザ・セキュリティ・サンドボックスの回避を試みるために、この手法を頻繁に悪用する。

主な深刻度 High の修正は以下の通りである。

  • CVE-2026-3916:Web Speech コンポーネントにおける境界外読み取り欠陥
  • CVE-2026-3917/CVE-2026-3918:Agents/WebMCP コンポーネントにおける解放済みメモリ使用の脆弱性
  • CVE-2026-3919:Chrome エクステンションにおける解放済みメモリ使用のバグ
  • CVE-2026-3921/CVE-2026-3922/CVE-2026-3923/CVE-2026-3924:TextEncoding/MediaStream/WebMIDI/WindowDialog に影響する複数の解放済みメモリ使用のバグ

このアップデートでは、深刻度 Medium および Low の問題も複数修正された。そこに含まれるのは、PictureInPicture などのコンポーネントにおけるセキュリティ UI 実装の不備や、PDF および DevTools におけるポリシー適用不足などがある。これらの問題が実際に悪用される前に発見した、独立系の研究者に対して Google は、合計 $150,000 を大きく超えるバグバウンティを支払った。

いつものとおり Google は、大半のユーザーがブラウザを更新するまで、特定されたバグの詳細およびエクスプロイト・リンクへのアクセスを制限し、ユーザーを保護している。この措置は、攻撃者がパッチをリバース・エンジニアリングし、未更新ユーザーを標的化することを防ぐためのものである。

Web ブラウザを標的とする攻撃が増加する中、個人/組織ユーザーは、セキュリティ・アップデートを迅速に適用し、高度な脅威からの保護を優先する必要がある。

ブラウザが保護されていることを確認するためには、Google Chrome の “3 つのドット” メニューから “ヘルプ” を選択し、”Google Chrome について” をクリックする。それにより、Chrome ブラウザはバージョン 146 のアップデートを自動確認し、インストールを実行する。最新の保護を適用するためには、ブラウザの再起動が必要となるが、それにより、新たな脆弱性に対する defense-in-depth 戦略が強化される。

今回の Chrome のアップデートでは、プログラムが確保したメモリ領域に対する扱いの不備が主な原因となっています。特に CVE-2026-3913 では、割り当てられたサイズを超えてデータを書き込んでしまうヒープバッファ・オーバーフローが発生します。また、CVE-2026-3917/CVE-2026-3919 などで指摘された解放済みメモリ使用 (UAF) は、すでに不要として解放されたメモリ領域への不正なアクセスにより発生します。これらのメモリ管理の問題は、悪意の Web ページを閲覧するだけで、リモート・コード実行に至るなどの深刻な影響を招く可能性があるため、注意が必要です。よろしければ、Chrome での検索結果も、ご参照ください。