出典: Security NEXT – https://www.security-next.com/182164
連日発生したChromeの緊急アップデートとゼロデイ脆弱性への対応
2026年3月13日、Googleはブラウザ「Chrome」の緊急セキュリティアップデートを公開しました。前日に続き連日の更新となり、未修正だったゼロデイ脆弱性に対処しています。
主要なポイント
- 連続アップデートの実施:3月12日にリリースされたアップデートでは、一部脆弱性の修正が漏れていたため、翌13日に再度アップデートが公開されました。
- 修正された脆弱性:グラフィックライブラリ「Skia」の域外メモリ書き込み脆弱性「CVE-2026-3909」が今回初めて修正されました。前回はスクリプトエンジン「V8」の脆弱性「CVE-2026-3910」のみが修正されていました。
- 影響範囲:Windows、macOS、Linux向けに「Chrome 146.0.7680.80」として提供されており、多くのユーザーが影響を受ける可能性があります。
- 脆弱性の深刻度:Googleはこれらの脆弱性を4段階中2番目にあたる「高(High)」と評価し、実際に悪用されている事例も把握しています。
- ユーザーへの注意喚起:利用者には速やかなアップデート適用を強く推奨しています。
技術的な詳細や背景情報
今回修正された「CVE-2026-3909」は、Chromeのグラフィック描画を担う「Skia」ライブラリに存在する脆弱性で、域外メモリへの書き込みが可能となる問題です。域外メモリ書き込みは、プログラムが許可されていないメモリ領域にデータを書き込むことで、システムの安定性を損なったり、悪意あるコードの実行につながる恐れがあります。
また、「CVE-2026-3910」はChromeのJavaScriptエンジン「V8」における実装の不備で、こちらも攻撃者が任意のコードを実行するリスクを孕んでいます。これらの脆弱性は「ゼロデイ」と呼ばれ、公開前に既に悪用されているため、特に危険度が高いとされています。
影響や重要性
Chromeは世界中で広く利用されているウェブブラウザであり、これらの脆弱性が悪用されると、ユーザーの個人情報漏洩やシステム乗っ取りなど深刻な被害が発生する可能性があります。特にゼロデイ脆弱性は、攻撃者が防御策が整う前に攻撃を仕掛けるため、迅速な対応が求められます。
今回の連続アップデートは、Googleの対応の遅れやミスも示しており、セキュリティ対策の重要性と難しさを改めて浮き彫りにしました。ユーザー側も常に最新バージョンへの更新を心がける必要があります。
まとめ
2026年3月に発覚したChromeのゼロデイ脆弱性「CVE-2026-3909」と「CVE-2026-3910」は、悪用されている深刻な問題です。Googleは連日の緊急アップデートで対応を進めていますが、初回の修正漏れも判明しました。ユーザーは速やかに最新版のChromeへアップデートし、セキュリティリスクを軽減することが重要です。
