概要

Googleは、そのChromeデスクトップブラウザの緊急セキュリティ更新プログラムをリリースし、2つの重大なゼロデイ脆弱性に対処しました。これらの脆弱性は、CVE-2026-3909とCVE-2026-3910と呼ばれ、両方とも高リスクと分類され、攻撃者が既に悪用していることが確認されています。ユーザーは直ちにブラウザを更新することを強く推奨します。

脆弱性の技術的な詳細

2026年3月12日の安定版チャネル更新プログラムは、Googleの内部チームによって2026年3月10日に発見された2つの主要なセキュリティ脆弱性を解決します。

• CVE-2026-3909：これは、2DグラフィックスライブラリであるSkiaに存在する「境界外書き込み」の脆弱性です。攻撃者はこのメモリ腐食を悪用して、ブラウザをクラッシュさせたり、被害者のデバイス上で任意の悪意のあるコードを実行したりすることができます。
• CVE-2026-3910：これは、JavaScriptとWebAssemblyエンジンであるV8に存在する「不適切な実装」の脆弱性です。このような重要なコンポーネントに実装の欠陥が存在すると、脅威アクターがセキュリティサンドボックスをバイパスしたり、ブラウザメモリを操作したり、バックグラウンドで承認されていないスクリプトを秘密裏に実行したりすることができます。

Googleは、これらの脆弱性の具体的な技術的な詳細を、ユーザーの大部分が安全なバージョンに更新するまで、意図的にアクセスを制限しています。

パッチと緩和策

ユーザーとシステム管理者は、ネットワーク環境を保護するために、最新のパッチを優先的に適用する必要があります。

• WindowsおよびMacユーザーは、Chromeバージョン146.0.7680.75または146.0.7680.76に更新する必要があります。
• Linuxユーザーは、Chromeバージョン146.0.7680.75に更新する必要があります。
• Microsoft Edge、Brave、またはVivaldiなどの他のChromiumベースのブラウザを使用しているユーザーは、対応するベンダーの更新をすぐに監視し、適用する必要があります。

Google Chromeを手動で更新するには、Chromeメニューに移動し、「ヘルプ」を選択し、「About Google Chrome」をクリックします。ブラウザは最新の更新プログラムを自動的に確認し、セキュアにパッチを適用するために再起動を促します。

Googleは、内部でこれらの欠陥をキャッチするためにAddressSanitizerやMemorySanitizerなどの高度なテストフレームワークに大きく依存していますが、迅速なユーザーのパッチ適用がゼロデイの悪用に対する最も効果的な防御手段です。

元記事: https://gbhackers.com/two-newly-discovered-chrome-zero-days-exploited/