Google Chrome の脆弱性 8件が修正:リモート・コード実行などの可能性

Chrome Security Update Fixes 8 Vulnerabilities That Could Enable Remote Code Execution

2026/03/24 gbhackers — Google が公表したのは、Chrome ブラウザの 8 件の深刻な脆弱性に対処する、重要なセキュリティ・アップデートである。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、潜在的なリモート・コード実行の攻撃からシステムを保護することである。Windows/Mac 向けのバージョン 146.0.7680.164/146.0.7680.165 と、Linux 向けのバージョン 146.0.7680.164 が、数日から数週間の間に Stable チャネルで段階的に提供される予定である。

深刻なメモリ管理の欠陥

このリリースで修正された脆弱性の大半は、メモリ管理に関する深刻度 High の欠陥であり、攻撃者により常態的に標的化されるものである。具体的に挙げられるのは、ヒープバッファ・オーバーフロー/解放後メモリ使用 (use-after-free)/境界外読み取り/整数オーバーフローなどの脆弱性である。

これらの欠陥が悪用された場合には、ブラウザのクラッシュや不正なコード実行が引き起こされる可能性がある。通常、攻撃者たちは、特別に細工された悪意の Web サイトへユーザーを誘導することで、これらのエクスプロイトを誘発する。

最も重要な修正として、ヒープバッファ・オーバーフローの脆弱性である、WebAudio の CVE-2026-4673 と WebGL の CVE-2026-4675 が修正されている。これらの脆弱性を悪用する攻撃者は、メモリ領域の容量を超えてデータを書き込むことで隣接メモリを上書きし、アプリケーション制御の奪取を可能にする。この WebAudio の脆弱性は 2026年2月中旬に報告され、研究者には $7,000 の報奨金が支払われた。

このアップデートでは、複数の解放後メモリ使用の脆弱性も修正されている。それらの脆弱性は、解放済みメモリへの参照が継続されることで発動し、攻撃者にコード注入の機会を与える。影響を受けるコンポーネントと脆弱性は、Dawn の CVE-2026-4676/WebGPU の CVE-2026-4678/FedCM の CVE-2026-4680 などである。

上記の WebGPU および Dawn は、インタラクティブなグラフィックスをレンダリングするために使用されるプログラミング・インターフェースであり、デバイスのハードウェアと密接に連携するため、侵害された場合の影響は深刻なものとなる。

さらに、境界外読み取りの脆弱性である、CSS の CVE-2026-4674 と、WebAudio の CVE-2026-4677 も修正されている。これらの脆弱性を悪用する攻撃者は、本来アクセスできないメモリ領域を参照し、機密情報の取得やセキュリティ機構の回避を可能にする。

Fonts コンポーネントにおける、整数オーバーフローの脆弱性 CVE-2026-4679 も修正されている。

セキュリティ緩和策

Google の標準的なセキュリティ方針に従い、技術的詳細およびエクスプロイト情報の公開は制限されている。この一時的な情報非公開の措置は、ユーザーの大多数がアップデートを適用する前に、攻撃者がパッチをリバース・エンジニアリングし、有効なエクスプロイトを作成することを防ぐためのものだ。また、サードパーティ製ライブラリに、未修正の脆弱性が存在する場合にも、これらの情報アクセス制限は継続して適用される。

ユーザーにとって必要なことは、手動でブラウザ・バージョンを確認し、一連の深刻な脆弱性を修正することだ。Chrome メニューから Help を選択し、About Google Chrome をクリックすることでアップデートを実行できる。最新バージョンが自動的に確認/ダウンロードされた後に、セキュリティ修正を適用するためのブラウザの再起動が促される。

訳者後書:今回のアップデートで修正された脆弱性の多くは、メモリ管理の不備に起因しています。たとえば、ヒープバッファ・オーバーフローの脆弱性 CVE-2026-4673/CVE-2026-4675 は、確保された領域を超えてデータが書き込まれることで発動されます。また、解放後メモリ使用 (use-after-free) の脆弱性 CVE-2026-4676/CVE-2026-4678/CVE-2026-4680 は、すでに解放されたメモリ領域にプログラムがアクセスし続けることで発動します。その他にも、境界外読み取りの脆弱性 CVE-2026-4674/CVE-2026-4677 や、整数オーバーフローの脆弱性 CVE-2026-4679 などは、メモリの扱いにおける予期せぬ動作を生じます。こうした低レイヤーでの管理ミスが、攻撃者にシステム制御を許すきっかけとなります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。