Google、緊急のChrome更新をリリース:10の深刻なセキュリティ脆弱性を修正
Googleは、そのChromeブラウザの緊急セキュリティ更新をリリースし、10の脆弱性を修正しました。この安定版チャネルの更新は、3月3日、2026年に展開され、3つの深刻な脆弱性と7つの高リスクの問題を修正しています。
この緊急パッチは、攻撃者が任意のコードを実行するか、影響を受けるシステムを侵害する可能性のある潜在的なエクスプロイトからユーザーを保護します。このChrome更新は、今後数日間で展開されます。WindowsとMacユーザーはバージョン145.0.7632.159/160を受け取り、Linuxユーザーはバージョン145.0.7632.159に移行します。
セキュリティのベストプラクティス
Googleは、ユーザーベースの大部分がパッチをインストールするまで、完全なバグの詳細へのアクセスを制限する標準のセキュリティ慣行を継続しています。この遅延は、システムが安全になる前に脅威アクターが技術情報を武器化するのを防ぎます。
深刻なメモリとライフサイクルの脆弱性
この更新は、さまざまなコアChromeコンポーネントの深刻なメモリ管理と実装エラーを修正します。3つの深刻な脆弱性は、ANGLEとSkiaグラフィックスエンジンの整数オーバーフローとPowerVRコンポーネントのオブジェクトライフサイクル問題を含んでいます。
Googleは、これらの脆弱性を発見した独立したセキュリティ研究者に大幅なバグボンティを授与しました。cinzingaはANGLEの脆弱性を発見し、33,000ドルを獲得しました。一方、KunLun LabのZhihua YaoはPowerVRの発見で32,000ドルを獲得しました。
脆弱性の詳細
- CVE-2026-3536: ANGLEの整数オーバーフロー (cinzinga: 33,000ドル)
- CVE-2026-3537: PowerVRのオブジェクトライフサイクル問題 (Zhihua Yao: 32,000ドル)
- CVE-2026-3538: Skiaの整数オーバーフロー (Symeon Paraschoudis: TBD)
- CVE-2026-3539: DevToolsのオブジェクトライフサイクル問題 (Zhenpeng (Leo) Lin: TBD)
- CVE-2026-3540: WebAudioの不適切な実装 (Davi Antônio Cruz: TBD)
- CVE-2026-3541: CSSの不適切な実装 (Syn4pse: TBD)
- CVE-2026-3542: WebAssemblyの不適切な実装 (qymag1c: TBD)
- CVE-2026-3543: V8の不適切な実装 (qymag1c: TBD)
- CVE-2026-3544: WebCodecsのヒープバッファオーバーフロー (匿名: TBD)
- CVE-2026-3545: Navigationの不十分なデータ検証 (Google (内部): TBD)
ユーザーと企業管理者への対応
ユーザーと企業管理者は、これらの深刻なメモリ腐敗の脆弱性から組織ネットワークを保護するために、更新をすぐに適用する必要があります。個々のユーザーは、Chromeメニューに移動し、「ヘルプ」を選択し、「About Google Chrome」をクリックすることで更新を手動でトリガーできます。
更新がダウンロードされると、ユーザーはブラウザを再起動して変更を効果的に適用する必要があります。
セキュリティチームの対応
セキュリティチームは、自動パッチ管理システムがバージョン145の更新を企業エンドポイント全体にプッシュするように確保する必要があります。
元記事: https://gbhackers.com/google-rolls-out-emergency-chrome-update/