Critical Chrome Vulnerabilities Enable Remote Code Execution Attacks – Patch Now!
2026/05/21 CyberSecurityNews — Google が、Chrome 向けの緊急セキュリティ・アップデートを公開した。合計で 16 件の脆弱性が修正されたが、そのうちの 2 件は Critical と評価され、影響を受けるシステム上での任意のコード実行を可能にするものだ。Stable チャネルでは、Windows/Mac 向けの 148.0.7778.178/179 と、Linux 向けの 148.0.7778.178 が提供されており、今後の数日以内にロールアウトが完了する見込みである。
Chrome の Critical 脆弱性
最も深刻な 2 件の欠陥は、2026年4月20日に Google 社内で報告されたものであり、いずれも Critical に分類されている。
- CVE-2026-9111:WebRTC における解放後メモリ使用 (use-after-free)の 脆弱性。細工された Web ページを通じて、メモリ破壊およびリモート・コード実行が可能となる。
- CVE-2026-9110:UI レイヤにおける不適切な実装。この欠陥を突く攻撃者は、セキュリティ制約を回避し、ブラウザ・インターフェイス要素を偽装する可能性がある。
1 つ目の脆弱性は、解放済みのメモリ領域への操作を、攻撃者に許す可能性があるため、特に危険である。他のエクスプロイトとの連鎖が生じると、システム全体の侵害につながる可能性が高い。
修正された深刻度 High の脆弱性
Critical 脆弱性に加えて、複数コンポーネントにまたがる 9 件の深刻度 High 脆弱性が修正された。
| CVE | Type | Component | Bounty |
|---|---|---|---|
| CVE-2026-9112 | Use-After-Free | GPU | $11,000 |
| CVE-2026-9113 | Out-of-Bounds Read | GPU | $3,000 |
| CVE-2026-9114 | Use-After-Free | QUIC | N/A |
| CVE-2026-9115 | Insufficient Policy Enforcement | Service Worker | N/A |
| CVE-2026-9116 | Insufficient Policy Enforcement | ServiceWorker | N/A |
| CVE-2026-9117 | Type Confusion | GFX | N/A |
| CVE-2026-9118 | Use-After-Free | XR | N/A |
| CVE-2026-9119 | Heap Buffer Overflow | WebRTC | N/A |
| CVE-2026-9120 | Use-After-Free | WebRTC | N/A |
CVE-2026-9112 および CVE-2026-9113 は、外部研究者 c6eed09fc8b174b0f3eebedcceb1e792 により責任ある開示が行われ、合計で $14,000 のバグ・バウンティが支払われた。
深刻度 Medium の脆弱性
さらに、5 件の深刻度 Medium の問題も修正された。
- CVE-2026-9121:GPU における範囲外読み取り
- CVE-2026-9122:GPU における範囲外読み取り
- CVE-2026-9123:Chromecast におけるヒープ・バッファ・オーバーフロー
- CVE-2026-9124:入力検証不備
- CVE-2026-9126:DOM における解放後メモリ使用
なお、CVE-2026-9121/CVE-2026-9122 は、Adalogics の David Korczynski および前述の外部研究者により報告された。
緩和策
通常どおり Google は、大多数のユーザーへアップデートが適用されるまで、脆弱性の詳細の公開を制限する方針を示し、展開期間中の悪用リスクの低減を図っている。ユーザーおよび管理者に対して強く推奨されるのは、以下を直ちに実施することである。
- chrome://settings/help へのアクセスと、バージョン 148.0.7778.178 以上のインストール。
- Chrome の再起動による、アップデートの適用。
- エンタープライズ環境におけるポリシー管理ツールを使用した、アップデートの強制配布。
- Chrome のリリース・ノートおよび CISA アドバイザリの監視、および悪用活動の活発化に関する兆候の確認。
ブラウザ経由の攻撃に対して、このアップデートは重要な防御となるため、迅速な適用が必要となる。
訳者後書:今回の Chrome のアップデートで修正された脆弱性の中には、解放後メモリ使用という深刻なものもあります。使い終わって一度解放したはずのメモリ領域に、プログラムが間違って再びアクセスしてしまうことでこの問題は発生します。本文中の CVE-2026-9111 や CVE-2026-9112 などが、このメモリ管理の不備に起因します。また、CVE-2026-9110 のような、設計上の不適切な実装から生じる問題もあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.