サイバーニュース.jp

世界のサイバーなニュースを配信

Chromeセキュリティアップデートで26の脆弱性を修正、リモートからの悪意のあるコード実行を可能にする可能性を排除

カテゴリ:

Googleは、ChromeデスクトップWebブラウザ向けの重要なセキュリティアップデートをリリースしました。このアップデートでは、攻撃者がリモートから悪意のあるコードを実行できる可能性のある26の脆弱性が修正されています。

アップデート内容

Stableチャンネルのアップデートでは、WindowsおよびmacOSシステム向けにバージョン146.0.7680.153および146.0.7680.154が、Linux環境向けにバージョン146.0.7680.153が提供されています。この大規模なパッチサイクルは今後数日~数週間かけて展開され、深刻なメモリアクセス破壊の脆弱性に対する重要な保護を提供します。完全な保護を確保するために、ユーザーは自動ダウンロード完了後、新しいセキュリティ対策が完全に適用されるように、ブラウザをすぐに再起動することを強く推奨します。

修正された脆弱性

この包括的なセキュリティアップデートでは、Critical(重大)と評価された脆弱性が3つ、High(高)リスクのバグが22個、Medium(中)リスクの問題が1つ修正されています。Criticalな脆弱性には、WebGLグラフィックスコンポーネントにおける境界外メモリアクセス、境界外読み書き、BaseコンポーネントにおけるUse-after-free(オブジェクト使用後エラー)が含まれます。多くのHighリスクのバグは、WebRTC、V8、ANGLE、Blink、WebAudioなどの主要なブラウザ処理エンジンに影響を与える、ヒープバッファオーバーフローや整数オーバーフローなどです。

これらの脆弱性が修正されない場合、未認証の攻撃者が、特別に作成されたWebページを閲覧させるだけでシステムを侵害する可能性があります。

Googleのセキュリティプロトコル

Googleは、標準的なセキュリティプロトコルとして、ユーザーベースの大部分がパッチを適用するまで、詳細なバグレポートやエクスプロイトチェーンへの公開アクセスを厳しく制限しています。この遅延公開戦略は、更新が遅いシステムを標的とするゼロデイエクスプロイトを開発するために、機会主義的な脅威アクターがパッチを逆工学するのを効果的に防ぎます。また、バグがサードパーティのライブラリに存在し、他の外部プロジェクトがまだ修正していない場合でも、厳格なデータ制限を維持しています。

個人および企業は、これらの洗練されたリモートコード実行の脅威から防御するために、タイムリーなセキュリティアップデートを優先する必要があります。

修正された脆弱性の詳細

  • CVE-2026-4439 (Critical): WebGLにおける境界外メモリアクセス
  • CVE-2026-4440 (Critical): WebGLにおける境界外読み書き
  • CVE-2026-4441 (Critical): BaseにおけるUse-after-free
  • CVE-2026-4442 (High): CSSにおけるヒープバッファオーバーフロー
  • CVE-2026-4443 (High): WebAudioにおけるヒープバッファオーバーフロー
  • CVE-2026-4444 (High): WebRTCにおけるスタックバッファオーバーフロー
  • CVE-2026-4445 (High): WebRTCにおけるUse-after-free
  • CVE-2026-4446 (High): WebRTCにおけるUse-after-free
  • CVE-2026-4447 (High): V8における不適切な実装
  • CVE-2026-4448 (High): ANGLEにおけるヒープバッファオーバーフロー
  • CVE-2026-4449 (High): BlinkにおけるUse-after-free
  • CVE-2026-4450 (High): V8における境界外書き込み
  • CVE-2026-4451 (High): Navigationにおける未信頼入力の検証不足
  • CVE-2026-4452 (High): ANGLEにおける整数オーバーフロー
  • CVE-2026-4453 (High): Dawnにおける整数オーバーフロー
  • CVE-2026-4454 (High): NetworkにおけるUse-after-free
  • CVE-2026-4455 (High): PDFiumにおけるヒープバッファオーバーフロー
  • CVE-2026-4456 (High): Digital Credentials APIにおけるUse-after-free
  • CVE-2026-4457 (High): V8における型混乱
  • CVE-2026-4458 (High): ExtensionsにおけるUse-after-free
  • CVE-2026-4459 (High): WebAudioにおける境界外読み書き
  • CVE-2026-4460 (High): Skiaにおける境界外読み込み
  • CVE-2026-4461 (High): V8における不適切な実装
  • CVE-2026-4462 (High): Blinkにおける境界外読み込み
  • CVE-2026-4463 (High): WebRTCにおけるヒープバッファオーバーフロー
  • CVE-2026-4464 (Medium): ANGLEにおける整数オーバーフロー

これらの深刻なセキュリティバグの多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrityなどの内部セキュリティツールを使用して検出されました。Googleは、これらのバグが安定チャンネルに到達するのを防ぐために開発サイクル中に取り組んだ独立系セキュリティ研究者たちに感謝の意を表しています。

アップデート方法

ブラウザを完全に保護するために、Google Chromeの設定メニューに移動し、「ヘルプ」セクションを選択し、「Google Chromeについて」オプションをクリックして、自動更新プロセスを開始してください。

元記事: https://gbhackers.com/chrome-security-update-fixes-26-vulnerabilities/

投稿をさらに読み込む