Google Chrome 149 のアップデート:任意のコード実行などの 18 件の脆弱性に対処

Chrome 149 Security Update — Patch for Critical Flaws that Enable Code Execution Attacks

2026/06/24 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザ向けの深刻なセキュリティ・アップデートであり、Stable チャネルにおいて Windows/Mac 向けのバージョン 149.0.7827.196/197 を、Linux 向けのバージョン 149.0.7827.196 を提供している。このアップデートでは、計 18 件のセキュリティ脆弱性に対処しており、その内訳は Critical が 4 件/High が 14 件となっている。一連の脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行を引き起こす可能性がある。

最も深刻な修正対象は、Chrome の WebGL レンダリング・エンジンに存在する 2 件の解放後メモリ使用 (Use-after-Free) の脆弱性である。脆弱性 CVE-2026-13028 は 2026年6月7日に匿名の研究者から報告され、CVE-2026-13032 は 6月13日に Google 内部で特定された。解放後メモリ使用の脆弱性は、プログラムが解放済みのメモリを参照し続けた場合に発生し、実行フローの乗っ取りや悪意のコード実行を、攻撃者に許す可能性がある。

また、Critical と評価された 3つ目の脆弱性 CVE-2026-13033 は、Blink の InterestGroups コンポーネントにおける範囲外読み取り (Out-of-Bounds Read) の欠陥である。4つ目の CVE-2026-13038 は Chrome の Autofill サブシステムに存在する、別の解放後メモリ使用 の欠陥である。これらは、2026年6月13日から 14日にかけて Google 内部で発見された。

このアップデートでは、Chrome の複数のコンポーネントにまたがる、14 件の深刻度 High の脆弱性にも対処されている。具体的には、WebGL/Autofill/Bluetooth/WebView などの重要なブラウザ・コンポーネント全体に、解放後メモリ使用の脆弱性が集中している。それらが示すのは、脅威アクターが権限昇格/リモート・コード実行を達成するために悪用し得る、広範な攻撃対象領域の存在である。

CVE IDSeverityVulnerability TypeAffected Component
CVE-2026-13021HighInappropriate ImplementationDeviceBoundSessionCredentials
CVE-2026-13022HighInappropriate ImplementationAutofill
CVE-2026-13023HighUninitialized UseGPU
CVE-2026-13024HighInsufficient Input ValidationNavigation
CVE-2026-13025HighInsufficient Input ValidationDevTools
CVE-2026-13026HighUse-after-FreeDigital Credentials
CVE-2026-13027HighUse-after-FreeFileSystem
CVE-2026-13029HighUse-after-FreeWeb Authentication
CVE-2026-13030HighUninitialized UseGPU
CVE-2026-13031HighUse-after-FreeBlink
CVE-2026-13034HighInappropriate ImplementationPasswords
CVE-2026-13035HighUse-after-FreeBluetooth
CVE-2026-13036HighUse-after-FreeBlink
CVE-2026-13037HighUse-after-FreeWebView

大多数のユーザーが更新を完了するまで、脆弱性の詳細を制限すると Google は説明している。この措置は、パッチが広く展開される前に、悪用されることを防ぐための標準的な対応である。

Google は、同社のファジング/サニタイズ・ツール群である AddressSanitizer/MemorySanitizer/libFuzzer などにより、多くの脆弱性が発見されたと説明している。

ユーザーおよびエンタープライズ管理者に対して強く推奨されるのは、Chrome を直ちに更新することである。手動で更新するには、Settings → Help → About Google Chrome へ移動し、ブラウザを最新ビルドへ更新する必要がある。