概要

CISA（サイバーセキュリティとインフラストラクチャセキュリティ庁）は、Google Chromiumエンジンに影響を与える重要な脆弱性をその「既知の悪用されている脆弱性」カタログに追加しました。この脆弱性はCVE-2026-2441としてトラッキングされており、現在野外で積極的に悪用されています。

技術的な分析と影響

CVE-2026-2441はCSS（Cascading Style Sheets）コンポーネント内に存在するUse-After-Freeの脆弱性です。この特定のメモリ腐食型脆弱性は、プログラムが解放された後に引き続き使用しようとした場合に発生します。

攻撃者はユーザーを特別に作成したHTMLページに誘導することで、ヒープ腐食を悪用し、ターゲットのマシン上で任意のコードを実行したり、アプリケーションをクラッシュさせたりする可能性があります。

CVE-2026-2441の影響範囲

この脆弱性がChromiumエンジン内に存在することから、Google Chromeブラウザを超えて影響範囲は広がります。Microsoft Edge、Opera、Vivaldi、Braveなどの幅広いアプリケーションも含む、Chromiumオープンソースプロジェクトに基づいて構築されたすべてのウェブブラウザがこのゼロデイエクスプロイトに脆弱です。

CISAからの対応

CISAはCVE-2026-2441の積極的な悪用状況に対応し、3月10日までに修正を完了するBinding Operational Directive (BOD) 22-01を発行しました。連邦民事執行機関（FCEB）はこの期限内に脆弱なChromiumベースブラウザのインスタンスを特定し、パッチを適用することが求められています。

組織への推奨事項

CISAは、連邦機関に対する法的要件を超えて、すべての組織に対して直ちにベンダーからの緩和策を適用することを強くお勧めしています。Chromiumブラウザが企業環境で広く使用されているため、未修正のエンドポイントは脅威アクターによる初期アクセスのリスクを高めます。

元記事: https://gbhackers.com/cisa-warns-google-chromium-0-day-vulnerability/