Google Chrome 144が公開
Googleはデスクトップ版「Chrome 144」をリリースしました。このアップデートでは、V8 JavaScriptエンジンにおける深刻度の高い欠陥を含む10件のセキュリティ脆弱性に対処しています。安定版チャネルでの展開は、Windows、Mac、Linuxシステム向けに2026年1月13日から開始されています。バージョン144.0.7559.59(Linux)および144.0.7559.59/60(Windows/Mac)は、セキュリティ強化に加え、パフォーマンスの向上も提供します。
V8エンジンおよびその他のコンポーネントの重要なパッチ
今回のリリースは、ChromeのJavaScript処理機能における根本的な脆弱性を対象としています。セキュリティ研究者たちは、V8エンジンにおける複数の境界外メモリアクセスや不適切な実装の欠陥を特定しました。これらは、任意のコード実行やサンドボックスからの脱出を可能にする恐れがあります。Googleは、2025年11月に報告された深刻度の高い境界外メモリアクセス脆弱性であるCVE-2026-0899を発見した@p1nky4745氏に8,000ドルの報奨金を授与しました。このアップデートは、Blinkレンダリングエンジン、ダウンロード処理、デジタル資格情報、ネットワークポリシー、UIセキュリティ実装など、複数のコンポーネントにわたる脆弱性を解決しています。報告された脆弱性のうち、4件が「高」、4件が「中」、2件が「低」の深刻度に分類されています。
修正された脆弱性の詳細
- CVE-2026-0899: 深刻度 高, コンポーネント V8, 説明 境界外メモリアクセス ($8,000の報奨金)
- CVE-2026-0900: 深刻度 高, コンポーネント V8, 説明 不適切な実装
- CVE-2026-0901: 深刻度 高, コンポーネント Blink, 説明 不適切な実装
- CVE-2026-0902: 深刻度 中, コンポーネント V8, 説明 不適切な実装 ($4,000の報奨金)
- CVE-2026-0903: 深刻度 中, コンポーネント Downloads, 説明 信頼されていない入力の検証不備 ($3,000の報奨金)
- CVE-2026-0904: 深刻度 中, コンポーネント Digital Credentials, 説明 不適切なセキュリティUI ($1,000の報奨金)
- CVE-2026-0905: 深刻度 中, コンポーネント Network, 説明 不十分なポリシー適用
- CVE-2026-0906: 深刻度 低, コンポーネント UI, 説明 不適切なセキュリティUI ($2,000の報奨金)
- CVE-2026-0907: 深刻度 低, コンポーネント Split View, 説明 不適切なセキュリティUI ($500の報奨金)
- CVE-2026-0908: 深刻度 低, コンポーネント ANGLE, 説明 Use after free
コミュニティへの感謝とアップデートの推奨
Googleは、セキュリティ研究コミュニティの貢献に感謝の意を表しており、多くの脆弱性がAddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer、AFLなどの自動ツールを使用して検出されたことを指摘しています。ユーザーは、Chromeの組み込みアップデートメカニズムを通じて、または公式Chromeウェブサイトから最新バージョンをダウンロードして更新できます。