はじめに
Googleは、Windows、Mac、Linuxプラットフォーム向けにChromeバージョン144.0.7559.96/.97を安定版チャンネルでリリースしました。このアップデートは、V8 JavaScriptエンジンにおける深刻なレースコンディションの脆弱性に対処するものです。更新プログラムは今後数日から数週間にわたり、ユーザーに順次展開されます。
セキュリティ更新の詳細:CVE-2026-1220
今回の安定版リリースでは、CVE-2026-1220として追跡されている高深刻度のセキュリティ脆弱性が修正されました。これはV8エンジンにおけるレースコンディションであり、メモリ破損や任意のコード実行につながる可能性があります。この脆弱性は外部の研究者@p1nky4745によって2026年1月7日に報告され、Chromeのバグ報奨金プログラムが脅威の特定に効果的であることを示しています。
- CVE ID: CVE-2026-1220
- 深刻度: High
- コンポーネント: V8 JavaScript Engine
- 問題の種類: Race Condition
V8におけるレースコンディションは、複数のスレッドが適切な同期なしに共有メモリに同時にアクセスおよび変更する際に発生します。これにより、攻撃者がメモリの状態を操作してセキュリティ保護を回避できる脆弱性が生じます。この種の脆弱性はユーザーに重大なリスクをもたらし、悪用されると攻撃者はブラウザのセキュリティコンテキスト内で悪意のあるコードを実行する可能性があります。
Googleの検出メカニズムと対応
Googleのセキュリティチームは、AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrityチェック、libFuzzer、AFL(American Fuzzy Lop)など、複数の検出メカニズムを用いてこの脆弱性を特定・検証しました。これらの自動化されたファジングおよびサニタイズツールは、Chromeのコードベースを継続的にスキャンし、メモリ安全性の問題や未定義の動作がユーザーに届く前に発見します。
Googleは、悪意のあるアクターがパッチ未適用のシステムを標的にすることを防ぐため、詳細なバグ情報については、大多数のユーザーがパッチを受け取るまで制限することを強調しています。さらに、他のプロジェクトも依存するサードパーティライブラリに脆弱性が存在する場合、影響を受けるすべてのプロジェクトが修正を展開するまで、アクセス制限が継続されます。
全ユーザーへの推奨事項
すべてのユーザーは、利用可能になり次第、Chrome 144に直ちにアップデートする必要があります。企業環境でChromeを展開している組織は、このアップデートの展開時期を最優先事項として考慮すべきです。アップデート後に安定性の問題に遭遇したユーザーは、Chromeのバグトラッカーまたはコミュニティヘルプフォーラムを通じて問題を報告することが奨励されます。