79 Chrome Vulnerabilities Patched, Including 14 Critical One’s – Update Now!
2026/05/15 CyberSecurityNews — Google は Chrome ブラウザの 79件の脆弱性を修正し、攻撃者による悪用を緩和した。そのうち 14件は Critical に分類されており、未修正のバージョンで Web を閲覧すると、システム全体への深刻なサイバー攻撃に至る可能性がある。最新の stable リリースでは、Windows/Mac 向けの 148.0.7778.167/168 と、Linux 向けの 148.0.7778.167 が提供されている。
今回のパッチは段階的に配信されるが、ユーザーおよびエンタープライズ管理者は手動で更新を実行するべきである。
複雑なブラウザ・アーキテクチャにおける継続的な課題とされる、use-after-free (UAF) や heap buffer overflow といったメモリ破損の脆弱性が、今回のアップデートでは大量に更新されている。
通常の運用として Google は、エクスプロイト詳細および PoC (proof-of-concept) コードを非公開としている。これにより、マルウェア・オペレータが脆弱性を武器化する前に、ユーザーがパッチを適用するための猶予期間が確保される。
最大報奨金である $43,000 は、WebML コンポーネントにおける Critical な heap buffer overflow を発見した研究者に支払われた。
Chrome の Critical な脆弱性の修正
Google が修正したのは、悪意の HTML ページを介した任意のコード実行を可能にする複数のメモリ管理の欠陥である。以下は、今回の更新で修正された主要な脆弱性であり、セキュリティ・チームが追跡すべき項目である。
| CVE ID | Component | Vulnerability Type | Reporter | Bounty |
|---|---|---|---|---|
| CVE-2026-8509 | WebML | Heap buffer overflow | c6eed09fc8b174b0f3eebedcceb1e792 | $43,000 |
| CVE-2026-8510 | Skia | Integer overflow | q@calif.io | $25,000 |
| CVE-2026-8511 | UI | Use after free | N/A | |
| CVE-2026-8512 | FileSystem | Use after free | N/A | |
| CVE-2026-8513 | Input | Use after free | N/A | |
| CVE-2026-8514 | Aura | Use after free | N/A | |
| CVE-2026-8515 | HID | Use after free | N/A | |
| CVE-2026-8516 | DataTransfer | Insufficient validation of untrusted input | N/A | |
| CVE-2026-8517 | WebShare | Object lifecycle issue | N/A | |
| CVE-2026-8518 | Blink | Use after free | N/A | |
| CVE-2026-8519 | ANGLE | Integer overflow | N/A | |
| CVE-2026-8520 | Payments | Race condition | N/A | |
| CVE-2026-8521 | Tab Groups | Use after free | N/A | |
| CVE-2026-8522 | Downloads | Use after free | N/A |
ブラウザの脆弱性は、サンドボックス回避/機密性の高いデータの窃取/OS 侵害を狙う攻撃者から重点的に標的化されるものだ。
このパッチ適用の遅延は、インフラに対する直接的リスクとなる。直ちに以下の対応を実施する必要がある。
- Chrome ブラウザ右上の三点メニューへ移動
- Help を選択し About Google Chrome をクリック
- バージョン 148 の取得およびインストールを実行
- Relaunch のクリックによるセキュリティ修正の適用
訳者後書:Google Chrome に見つかった 79 件の脆弱性と、修正パッチに関する解説です。複雑なブラウザの仕組みにおいて問題となりやすい、メモリの確保/ 解放時の管理ルールに不備があったことや、入力値の検証不足が生じています。 具体的には、解放済みのメモリ領域を誤って再利用してしまう Use-After-Free や、 処理容量を超えてデータが溢れる Heap buffer overflow などのメモリ破損バグが多数特定されました。これらの脆弱性が悪用されると、 悪意のサイトを閲覧しただけでブラウザの保護環境を突破され、 システムを乗っ取られる恐れがあります。それにしても、今回の脆弱性の多さは異例です。Google も Glasswing に参加していますので、ひょっとすると、そのプロジェクト成果も取り込まれているのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.