概要
Google は、攻撃者がユーザーのデバイス上で悪意のあるコードを実行できる可能性がある3つの深刻な脆弱性を修正するため、緊急のセキュリティ更新プログラムを発表しました。このアップデートにより、Windows、Mac、Linux の Chrome バージョンが最新版に更新されます。
脆弱性の詳細
この更新では、PDFium(PDF ファイルを処理するエンジン)と V8(JavaScript を高速に処理するプロセッサ)の深刻な脆弱性が修正されています。これらの脆弱性は、攻撃者がユーザーのブラウザをハッカー用ゲートウェイに変える可能性があります。
PDFium の脆弱性
CVE-2026-2648 は PDF パース時に発生し、不正な境界により攻撃者がリモートでヒープメモリを上書きできる可能性があります。これにより、サンドボックス脱出や任意のコード実行(ACE)につながる可能性があります。
V8 の脆弱性
CVE-2026-2649 は V8 の整数処理の脆弱性を利用し、JavaScript でオーバーフローを引き起こします。これにより、ウェブスクリプトでの数字の取り扱いが混乱し、Chrome の防御システムを迂回して静かに攻撃を行う可能性があります。
メディア再生の脆弱性
CVE-2026-2650 は不正なコンテンツによりメディアバッファを攻撃し、ウェブビデオや埋め込みでヒープ構造を破壊する可能性があります。この脆弱性は中程度のリスクですが、CVSS スケールでは8.8と評価され、高い機密性/整合性/可用性への影響が予想されます。
アップデート方法
- Chrome を開き、「ヘルプ」メニューから「Google Chrome について」を選択します。
- 自動的にチェックとインストールが行われ、必要に応じて再起動を促されます。
企業では、グループポリシーや MDM ツールを使用して更新をプッシュできます。自動アップデートのオフは避けてください。