Critical Chrome Vulnerabilities Allow Attackers to Execute Arbitrary Code – Update Now!
2026/06/17 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザ向けの重要なセキュリティ・アップデートである。一連の Critical 脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行する恐れがある。それらの欠陥は、ブラウザのコア・コンポーネントに影響するため、ユーザーに強く推奨されるのは速やかなアップデートである。最新の Chrome Stable チャネルは、Windows/macOS 向けのバージョン 149.0.7827.155/.156 と、Linux 向けの 149.0.7827.155 が提供されている。
このロールアウトは段階的に進められており、今後の数日から数週間でユーザーに配信される。このリリースには、33 件のセキュリティ修正が含まれているが、そのうち数件はリモート・コード実行 (RCE) につながる可能性があり、Critical と評価されている。
Google は、大多数のユーザーがアップデートをインストールするまで、一部のバグに関する詳細な技術情報を制限している。
コード実行を可能にする Chrome 脆弱性
修正された問題の中で目立つのは、use-after-free に起因する 7件のメモリ破損のCritical 脆弱性である。この種の欠陥を突く攻撃者はメモリを操作し、ブラウザ・コンテキスト内で任意のコード実行を引き起こす可能性がある。
主な Critical 脆弱性は以下のとおりである。
- CVE-2026-12437:WebShare における use-after-free。
- CVE-2026-12438:WebView における不適切な実装。
- CVE-2026-12439:Digital Credentials における use-after-free。
- CVE-2026-12440:Digital Credentials における use-after-free。
- CVE-2026-12441:File Input における use-after-free。
- CVE-2026-12442:Passwords における use-after-free。
- CVE-2026-12443:Web Authentication における use-after-free。
use-after-free の脆弱性は、解放された後のメモリにアクセスすることで発生し、メモリ構造の破壊や実行フローの制御を、攻撃者に許す可能性がある。
実際の攻撃シナリオでは、被害者が悪意のある Web ページを訪問するだけで、追加の操作を必要とせずに悪用が発生する可能性がある。一連の Critical 欠陥に加えて、WebRTC/Extensions/Safe Browsing/GPU/File System Access などのコンポーネント全体に存在する、多数の High 脆弱性も修正された。
その他の注目すべき脆弱性は、以下のとおりである。
- CVE-2026-12446:Passwords における不十分なデータ検証
- CVE-2026-12447:WebRTC におけるヒープ・バッファ・オーバーフロー
Extensions/Media/Downloads/Browser における複数の use-after-free の欠陥や、入力処理およびエクステンション全体における検証不備やポリシー適用の不備も修正されている。
これらの脆弱性が他のバグと連鎖すると、データ漏洩やサンドボックス・エスケープに加えて、さらなるエクスプロイト・チェーンにつながる可能性がある。
| CVE ID | 深刻度 | コンポーネント | 脆弱性タイプ | 報告者 | 報告日 |
|---|---|---|---|---|---|
| CVE-2026-12437 | Critical | WebShare | Use after free | 2026-05-25 | |
| CVE-2026-12438 | Critical | WebView | Inappropriate implementation | 2026-05-27 | |
| CVE-2026-12439 | Critical | Digital Credentials | Use after free | 2026-06-03 | |
| CVE-2026-12440 | Critical | DigitalCredentials | Use after free | 2026-06-03 | |
| CVE-2026-12441 | Critical | File Input | Use after free | 2026-06-05 | |
| CVE-2026-12442 | Critical | Passwords | Use after free | 2026-06-09 | |
| CVE-2026-12443 | Critical | Web Authentication | Use after free | 2026-06-11 | |
| CVE-2026-12444 | High | Chromoting | Out of bounds read | 2026-05-14 | |
| CVE-2026-12445 | High | Extensions | Use after free | 2026-05-14 | |
| CVE-2026-12446 | High | Passwords | Insufficient data validation | 2026-05-14 | |
| CVE-2026-12447 | High | WebRTC | Heap buffer overflow | 2026-05-15 | |
| CVE-2026-12448 | High | WebView | Inappropriate implementation | 2026-05-15 | |
| CVE-2026-12449 | High | Chromoting | Use after free | 2026-05-15 | |
| CVE-2026-12450 | High | Media | Inappropriate implementation | Zhixin Tu | 2026-05-19 |
| CVE-2026-12451 | High | DigitalCredentials | Use after free | 2026-05-19 | |
| CVE-2026-12452 | High | Downloads | Use after free | 2026-05-21 | |
| CVE-2026-12453 | High | Input | Insufficient validation of untrusted input | 2026-05-25 | |
| CVE-2026-12454 | High | Safe Browsing | Race condition | 2026-05-27 | |
| CVE-2026-12455 | High | Tab Strip | Use after free | 2026-05-27 | |
| CVE-2026-12456 | High | Extensions | Insufficient validation of untrusted input | 2026-05-27 | |
| CVE-2026-12457 | High | Extensions | Insufficient data validation | 2026-05-27 | |
| CVE-2026-12458 | High | Passwords | Incorrect security UI | 2026-05-27 | |
| CVE-2026-12459 | High | Serial | Inappropriate implementation | 2026-05-28 | |
| CVE-2026-12460 | High | File System Access | Insufficient policy enforcement | 2026-05-28 | |
| CVE-2026-12461 | High | WebRTC | Out of bounds read | 2026-05-29 | |
| CVE-2026-12462 | High | Media | Use after free | 2026-05-29 | |
| CVE-2026-12463 | High | Views | Inappropriate implementation | 2026-05-30 | |
| CVE-2026-12464 | High | Browser | Use after free | 2026-06-03 | |
| CVE-2026-12465 | High | Metrics | Insufficient validation of untrusted input | 2026-06-05 | |
| CVE-2026-12466 | High | WebRTC | Heap buffer overflow | 2026-06-05 | |
| CVE-2026-12467 | High | Extensions | Use after free | 2026-06-05 | |
| CVE-2026-12468 | High | Updater | Inappropriate implementation | 2026-06-08 | |
| CVE-2026-12469 | High | GPU | Uninitialized use | 2026-06-09 |
Google は、AddressSanitizer/MemorySanitizer/libFuzzer/Control Flow Integrity メカニズムなどの、同社の内部セキュリティ・ツールが、これらの脆弱性の多くを特定したとしている。これらのツールは、メモリ安全性の問題が、実際の攻撃で悪用される前に、先回りして特定する上で重要な役割を果たしている。
個人/企業ユーザーにとって必要なことは、Chrome を Settings > About Chrome から最新バージョンをダウンロードした後にブラウザを再起動し、パッチを適用することだ。
エンタープライズ環境では、古いブラウザ・バージョンの残存を監視すべきである。エンドポイント保護やブラウザ分離などの、多層防御の戦略も適用する必要がある。今回のアドバイザリには、メモリ破損の Critical 脆弱性が存在するため、速やかなアップデートが必須である。
訳者後書:Google Chrome のコンポーネント群における脆弱性が修正されました。今回の問題の背景にあるのは、ブラウザの基盤となる様々なプログラムにおいて、役割を終えたデータの領域を正しく片付ける処理や、割り当てられた容量を正しく守る設計の難しさです。脆弱性 CVE-2026-12437/CVE-2026-12439 などの、解放済みの領域を悪用する不備が突かれると、閲覧者がページを開くだけで内部の命令書き換えやリモート操作を許す恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.