Chrome Security Update Fixes 26 Vulnerabilities Enabling Remote Malicious Code Execution
2026/03/20 gbhackers — Google が公開したのは、デスクトップ向け Web ブラウザ Chrome に関する重要なセキュリティ更新プログラムである。この更新は、リモートコード実行などの恐れのある 26 件の脆弱性に対処するものだ。Windows/macOS 向けのバージョン 146.0.7680.153/146.0.7680.154、Linux 向けのバージョン 146.0.7680.153 が、Stable チャネルで提供される。この大規模なパッチは、今後の数日から数週間にかけて段階的に展開され、深刻なメモリ破損脆弱性に対する重要な防御を提供する。ユーザーに対して強く推奨されるのは、自動ダウンロード後のブラウザの再起動により、セキュリティ対策を確実に適用し、完全な保護を確保することだ。
修正された深刻な脆弱性
この包括的な更新で修正されるのは、3 件の Critical 脆弱性、22 件の High 脆弱性、および 1 件の Medium 脆弱性である。
深刻度 Critical の脆弱性 CVE-2026-4439/CVE-2026-4440 /CVE-2026-4441 は、WebGL コンポーネントにおける境界外メモリアクセス/境界外読み取り/書き込み、および、Base コンポーネントにおける解放後メモリ使用 (use-after-free) などの欠陥である。
また、深刻度 High の脆弱性としては、WebRTC/V8/ANGLE/Blink/WebAudio などの主要なブラウザ処理エンジンに影響する、ヒープバッファ・オーバーフローや整数オーバーフローなどの欠陥が修正された。
これらのメモリ破損の脆弱性が放置されると、細工された Web ページへユーザーを誘導されるだけで、システムの完全性を侵害される可能性がある。
Google の標準的なセキュリティ・ポリシーにより、ユーザーの大多数がパッチを適用するまで、詳細なバグ情報やエクスプロイト・チェーンの公開は制限される。この開示遅延戦略は、攻撃者によるパッチ解析や、ゼロデイ攻撃の開発を防止するものだ。また、サード・パーティ製ライブラリに関連する欠陥が、他プロジェクトで未修正の場合にも、同様の制限が適用される。
個人/企業ユーザーは、最優先でセキュリティ更新を実施し、これらの高度なリモートコード実行の脅威などに対抗する必要がある。
これらの脆弱性の多くは、Google 社内の AddressSanitizer/MemorySanitizer/Control Flow Integrity などの内部セキュリティ・ツールにより検出された。その一方で Google は、Stable チャネルに反映される前に脆弱性を発見した、独立系セキュリティ研究者に謝意を示している。
ブラウザを完全に保護するため、Google Chrome の設定メニューから「ヘルプ」を選択し、「Google Chrome について」にアクセスして、自動アップデートを実行する必要がある。
今回の更新では、 WebGL コンポーネントにおける境界外メモリアクセスや、 Base コンポーネントにおけるメモリの解放後使用といった深刻な問題が修正されました。この種のメモリ管理に関連する不備が原因となり、攻撃者が用意した特殊なページを読み込むだけで、システムが操作されるリスクが生じてしまいます。また、 WebRTC や V8 エンジンで発生したヒープバッファ・オーバーフローの脆弱性なども、プログラムが予期しない動作をする要因となります。ブラウザという複雑なソフトでは、小さなメモリの扱いミスが大きな脆弱性につながることがあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.