Google patches new Chrome zero-day flaw exploited in the wild
2026/06/09 BleepingComputer — 2026年6月8日に Google が公表したのは、Chrome の新たな脆弱性に対処する緊急アップデートのリリースである。このセキュリティ・アドバイザリにおいて、「脆弱性 CVE-2026-11645 に対するエクスプロイトが実環境に存在することを認識している」と、同社は述べている。今年に入ってから修正されたゼロデイは、これで 5 件目となる。
このゼロデイは、匿名のセキュリティ研究者により報告され、Google は Stable Desktop チャネル向けに修正を提供した。修正済みバージョンは Windows/Mac 向けの 149.0.7827.102/103、Linux 向けの 149.0.7827.102 であり、すでにグローバル展開されている。
Google の説明によると、すべてのユーザーに対して、このアップデートが届くまでに数日から数週間かかる可能性があるとのことだが、実際には即時適用可能な状態であった。ブラウザを手動で更新しないユーザーであっても、Chrome が次回に起動される時に、自動的にアップデートがインストールされる。
このゼロデイ脆弱性 CVE-2026-11645 は、Chrome の V8 JavaScript エンジンにおける境界外 Read/Write に起因し、深刻度 High に分類される。攻撃者は細工された HTML ページを通じて、この脆弱性を悪用し、ブラウザのサンドボックス内で任意のコード実行を可能にする。
悪用に成功した攻撃者は、ヒープ破損によりメモリバッファ外のデータへのアクセスを可能とし、高機密性情報の漏洩やシステム・クラッシュを引き起こす可能性がある。さらに、この脆弱性は ASLR などの保護メカニズムの回避にも悪用可能であり、他の脆弱性と組み合わせることで、コード実行の成功率を高めることができる。
Google は本件の詳細について追加情報を公開していない。
同社は、「大多数のユーザーが修正を適用するまで、バグの詳細や関連リンクへのアクセスを制限する場合がある。また、サードパーティ・ライブラリに同様の問題が存在する場合にも、その修正が完了するまで制限を維持する」と説明している。
2026年に入ってから Google は、攻撃で悪用された以下の Chrome ゼロデイを修正している。
- 2月:CVE-2026-2441:CSSFontFeatureValuesMap の iterator 無効化
- 3月:CVE-2026-3909:Skia 2D グラフィックス・ライブラリの境界外書き込み
- 3月:CVE-2026-3910:V8 JavaScript/WebAssembly エンジンの不適切な実装
- 4月:CVE-2026-5281:WebGPU 実装 Dawn における解放後メモリ使用
2025年には、8 件のゼロデイが修正されている。その多くは、スパイウェア攻撃で使用されるエクスプロイトを特定/追跡する Google Threat Analysis Group (TAG) により報告されたものである。
訳者後書:Google Chrome の新たな脆弱性である CVE-2026-11645 が、すでに実環境で悪用されているとのことです。今回の脆弱性の原因は、ブラウザ内で動く V8 JavaScript エンジンにおいて、データの読み書きをする際の境界外チェックが不十分だったことにあります。この処理の不備を突く攻撃者が用意した、不正な Web ページを読み込んだ際にメモリバッファの外側へのアクセスが発生し、機密情報の窃取やブラウザ内での任意のコード実行に至る恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.