Chrome 149 Security Update — Patch for Critical Flaws that Enable Code Execution Attacks
2026/06/24 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザ向けの深刻なセキュリティ・アップデートであり、Stable チャネルにおいて Windows/Mac 向けのバージョン 149.0.7827.196/197 を、Linux 向けのバージョン 149.0.7827.196 を提供している。このアップデートでは、計 18 件のセキュリティ脆弱性に対処しており、その内訳は Critical が 4 件/High が 14 件となっている。一連の脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行を引き起こす可能性がある。

最も深刻な修正対象は、Chrome の WebGL レンダリング・エンジンに存在する 2 件の解放後メモリ使用 (Use-after-Free) の脆弱性である。脆弱性 CVE-2026-13028 は 2026年6月7日に匿名の研究者から報告され、CVE-2026-13032 は 6月13日に Google 内部で特定された。解放後メモリ使用の脆弱性は、プログラムが解放済みのメモリを参照し続けた場合に発生し、実行フローの乗っ取りや悪意のコード実行を、攻撃者に許す可能性がある。
また、Critical と評価された 3つ目の脆弱性 CVE-2026-13033 は、Blink の InterestGroups コンポーネントにおける範囲外読み取り (Out-of-Bounds Read) の欠陥である。4つ目の CVE-2026-13038 は Chrome の Autofill サブシステムに存在する、別の解放後メモリ使用 の欠陥である。これらは、2026年6月13日から 14日にかけて Google 内部で発見された。
このアップデートでは、Chrome の複数のコンポーネントにまたがる、14 件の深刻度 High の脆弱性にも対処されている。具体的には、WebGL/Autofill/Bluetooth/WebView などの重要なブラウザ・コンポーネント全体に、解放後メモリ使用の脆弱性が集中している。それらが示すのは、脅威アクターが権限昇格/リモート・コード実行を達成するために悪用し得る、広範な攻撃対象領域の存在である。
| CVE ID | Severity | Vulnerability Type | Affected Component |
|---|---|---|---|
| CVE-2026-13021 | High | Inappropriate Implementation | DeviceBoundSessionCredentials |
| CVE-2026-13022 | High | Inappropriate Implementation | Autofill |
| CVE-2026-13023 | High | Uninitialized Use | GPU |
| CVE-2026-13024 | High | Insufficient Input Validation | Navigation |
| CVE-2026-13025 | High | Insufficient Input Validation | DevTools |
| CVE-2026-13026 | High | Use-after-Free | Digital Credentials |
| CVE-2026-13027 | High | Use-after-Free | FileSystem |
| CVE-2026-13029 | High | Use-after-Free | Web Authentication |
| CVE-2026-13030 | High | Uninitialized Use | GPU |
| CVE-2026-13031 | High | Use-after-Free | Blink |
| CVE-2026-13034 | High | Inappropriate Implementation | Passwords |
| CVE-2026-13035 | High | Use-after-Free | Bluetooth |
| CVE-2026-13036 | High | Use-after-Free | Blink |
| CVE-2026-13037 | High | Use-after-Free | WebView |
大多数のユーザーが更新を完了するまで、脆弱性の詳細を制限すると Google は説明している。この措置は、パッチが広く展開される前に、悪用されることを防ぐための標準的な対応である。
Google は、同社のファジング/サニタイズ・ツール群である AddressSanitizer/MemorySanitizer/libFuzzer などにより、多くの脆弱性が発見されたと説明している。
ユーザーおよびエンタープライズ管理者に対して強く推奨されるのは、Chrome を直ちに更新することである。手動で更新するには、Settings → Help → About Google Chrome へ移動し、ブラウザを最新ビルドへ更新する必要がある。
訳者後書:今回の Chrome アップデートでは、多くの深刻な脆弱性に対処されました。問題の原因は、プログラムが解放済みのメモリを参照し続けてしまう “解放後メモリ使用” や、指定された範囲外のデータを読み込む “範囲外読み取り” といった不具合にあります。これらが悪用されると、意図しないコードを実行される恐れがあります。WebGL/Blink/Autofill における CVE-2026-13028/CVE-2026-13032/CVE-2026-13033/CVE-2026-13038 などの脆弱性は、深刻度 Critical と評価されています。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。
You must be logged in to post a comment.