Chrome の 28件の脆弱性が FIX:メモリ破損の欠陥による任意のコード実行など

Google Patches 28 Chrome Vulnerabilities that Allow Attackers to Execute Malicious Code

2026/06/12 CyberSecurityNews — Google が公表したのは、28 件の脆弱性に対処する新たな Chrome セキュリティ・アップデートである。その中には、攻撃者による悪意のコード実行を許す、複数の Critical な脆弱性が含まれている。最新の Chrome Stable チャネル・アップデートでは、Windows/macOS 向けのバージョン 149.0.7827.114/.115 と、Linux 向けの 149.0.7827.114 が提供されている。

このロールアウトは段階的に展開されており、今後の数日から数週間でユーザーに到達する見込みである。また、Google は本リリースに含まれる、すべての変更を概説する詳細な変更ログも公開している。

コード実行を可能にする深刻な脆弱性

今回の修正で最も深刻な脆弱性としては、複数の Critical なメモリ破損の欠陥が含まれている。

これらには、Core/DigitalCredentials/WebMIDI などのコア・コンポーネントにおける複数の use-after-free 脆弱性があり、CVE-2026-12007/CVE-2026-12008/CVE-2026-12011 として特定されている。このような脆弱性は、メモリの不適切な管理により発生するものであり、攻撃者に対して解放済みメモリ領域の操作を許してしまう。

Google は、GPU コンポーネントにおける深刻なヒープバッファ・オーバーフロー脆弱性 CVE-2026-12010 にも対処した。さらに、Accessibility コンポーネントにおける信頼されない入力に対する検証の不備 CVE-2026-12009 も修正している。

これらの脆弱性は、細工された Web ページへのユーザーの誘導で悪用される可能性があり、任意のコード実行やシステム全体の侵害につながる恐れがある。

深刻な脆弱性に加えて、このアップデートでは Chrome の広範なコンポーネントに影響を及ぼす深刻度 High の問題も解決されている。

それらの中には、Network/Media/Autofill/GPU/Video/Views モジュール全体に存在する、複数の use-after-free の脆弱性が含まれている。これらのバグは、メモリ破損を引き起こす可能性があり、エクスプロイト・チェーンで悪用されることが多い。

その他の深刻度 High の脆弱性には、Codecs/Video/VideoCapture などのコンポーネントにおける境界外 Read/Write の欠陥が含まれ、攻撃者が意図しない形でのメモリへのアクセス/操作に至る可能性がある。

GPU コンポーネントにおけるヒープバッファ・オーバーフロー脆弱性は、悪用リスクを高めるものである。また、このアップデートでは、DevTools/Extensions/Network/Linux Toolkit Theming における、信頼されない入力に対する検証の不備も複数修正されている。

加えて Google は、DevTools および Headless モードにおける不適切なポリシー適用の問題や、Safe Browsing における競合状態の脆弱性にも対処した。

これらの弱点は、セキュリティ制限の回避やブラウザ保護機能への干渉で悪用される可能性がある。

実環境での攻撃における、これらの脆弱性の積極的な悪用について、Google は確認していないという。しかし、複数のメモリ関連の欠陥により、悪用の可能性は大きく高まっている。攻撃者は、悪意の Web サイト/エクスプロイト・キット/侵害済みの広告ネットワークなどを通じて、この種の脆弱性を頻繁に標的にする。

リスクを最小限に抑えるため、Google は大多数のユーザーがアップデートをインストールするまで、詳細な脆弱性情報へのアクセスを制限している。

このアプローチは、システムが保護される前に、攻撃者がパッチを分析してエクスプロイトを開発することを防ぐためのものである。Google は、これらの脆弱性を発見/報告した社内セキュリティ・チームと外部研究者に謝意を示している。

さらに同社は、AddressSanitizer/MemorySanitizer/UndefinedBehaviorSanitizer/Control Flow Integrity/libFuzzer/AFL などの高度な検出ツールが、開発中のセキュリティ欠陥の発見/緩和において果たす役割も強調している。

潜在的な脅威から保護するため、ユーザーに対して強く推奨されるのは、Chrome の最新バージョンへと速やかにアップデートすることである。通常、自動更新は有効化されているが、ユーザーは Chrome の設定パネルから、ブラウザのバージョンを手動で確認できる。

訳者後書:Google Chrome の、複数の脆弱性について解説する記事です。一連の脆弱性の原因として挙げられるのは、ブラウザのコア・コンポーネントにおけるメモリの不適切な管理や、信頼されない入力に対する検証の不備です。この影響により、メモリ領域の操作による任意のコード実行やシステム全体への侵害が引き起こされる恐れがあります。対応策として、最新の安定版へのアップデートを速やかに適用して、メモリ処理の隙を解消することで、ブラウザの保護機能を維持することが大切になります。よろしければ、Chrome での検索結果も、ご参照ください。