Chrome の Critical 脆弱性 5 件が FIX:サンドボックス回避による RCE などの可能性

Critical Chrome Vulnerabilities Let Attackers Execute Arbitrary Code – Update Now!

2026/04/16 CyberSecurityNews — Google が公開した Chrome ブラウザの重要なセキュリティ・アップデートは、システムを深刻なサイバー脅威に晒す可能性のある、31 件の脆弱性に対応するものだ。最も深刻な 5 件の Critical 脆弱性は、対象システム上での任意のコード実行を可能にするため、すべてのユーザーに求められるのは、2026年04月15日 に公開された Stable Channel アップデートの適用となる。

今回の Chrome アップデートでは、Windows/macOS 向けバージョン の147.0.7727.101/102 と、Linux 向けの 147.0.7727.101 が提供されている。修正された 31 件のうちの 5 件は、最高リスク・レベルである Critical と評価されている。

これらの脆弱性が悪用に成功した攻撃者は、管理者権限を必要とせずに悪意のプログラム実行/機密データ改竄/システムの完全な制御を可能とする。Google Chrome の公式リリース・ノートによると、これらの脆弱性を発見した外部研究者に対して高額なバグバウンティが支払われており、問題の深刻性が示されている。

修正された Critical Chrome 脆弱性

このアップデートで最も重要な脆弱性は、メモリ管理の不備およびバッファ・オーバーフローに関連するものだ。以下に、今回修正された 5 件の Critical 脆弱性を示す。

  • CVE-2026-6296:ANGLE グラフィックス・エンジンにおける、ヒープバッファ・オーバーフローの脆弱性である。2026年03月05日 に研究者 cinzinga により報告され、$90,000 の報奨金が支払われた。
  • CVE-2026-6297:Proxy コンポーネントに存在する use-after-free 脆弱性である。2026年03月17日 に heapracer により報告され、$10,000 の報奨金が支払われた。
  • CVE-2026-6298:Skia 2D グラフィックス・ライブラリに影響する、ヒープバッファ・オーバーフロー脆弱性である。
  • CVE-2026-6299:Prerender 機能における use-after-free 脆弱性であり、Google 内部エンジニアにより発見された。
  • CVE-2026-6358:XR (Extended Reality) コンポーネントにおける use-after-free の脆弱性であり、Seoul National University の研究者により報告された。

ヒープバッファ・オーバーフローや use-after-free のようなメモリ破壊脆弱性を悪用する攻撃者は、ブラウザのセキュリティ・サンドボックス回避を可能にする。それにより引き起こされる任意のコード実行は、最も危険なサイバー・セキュリティ脅威の一つである。

初期侵入後の攻撃者は、マルウェアのインストール/ランサムウェア展開/高権限ユーザー・アカウントの作成などを実行できる。

今回のアップデートでは、Turbofan におけるタイプ・コンヒュージョンや、Media コンポーネントの境界外読み取りといった、複数の High 脆弱性も修正されている。

個人/企業ユーザーの未更新デバイスは、各種のリスクにさらされる。

対策

ユーザーおよび管理者は、このアップデートを即時適用し、個人/企業ネットワークを保護する必要がある。

以下の手順でブラウザを更新する。

Google Chrome を起動する。

  • 画面右上の “三点” メニューをクリックする。
  • “Help” を選択して “About Google Chrome” を開く。
  • Chrome は自動更新によりダウンロードが開始される。
  • ダウンロード完了後に “Relaunch” をクリックしてパッチを適用する。

いつものとおり Google は、大多数のユーザーが更新を完了するまで、詳細なバグ情報へのアクセスを制限するとしている。この責任ある情報公開により、攻撃者によるパッチのリバース・エンジニアリングやエクスプロイト開発が抑制される。

ユーザーはブラウザバージョンを確認し、最新バージョンである 147.0.7727.101/147.0.7727.102 へとアップデートし、これらの Critical 脆弱性に対する防御を実施する必要がある。

訳者後書:今回の重要なアップデートは、Google Chrome の中核となるグラフィックス処理や通信管理のプログラムにおいて、メモリを扱う際の不備に起因します。Chrome の脆弱性が Critical と評価されるのは、とても珍しいことなので注意が必要です。具体的には、描画エンジン ANGLE の脆弱性 CVE-2026-6296 や、グラフィックス・ライブラリ Skia の脆弱性 CVE-2026-6298 などで、用意されたメモリ領域を越えてデータを書き込んでしまうヒープバッファ・オーバーフローが発見されました。また、Proxy や Prerender 機能では、すでに解放されて不要になったはずのメモリ領域を誤って再利用してしまう use-after-free の脆弱性 CVE-2026-6297/CVE-2026-6299/CVE-2026-6358 が発見されています。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。