概要
Googleは2026年4月1日、Google ChromeのWebGPU標準実装ライブラリ「Dawn」におけるuse-after-free(UAF)バグ(CVE-2026-5281、深刻度:高)を修正する緊急セキュリティアップデートをリリースした。Googleは「CVE-2026-5281に対するエクスプロイトが野外で実在することを確認している」と公式声明を出しており、実際の攻撃への悪用が把握されている。同日、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は本脆弱性を既知悪用脆弱性(KEV)カタログに追加し、連邦政府機関に対して2026年4月15日までの修正適用を義務付けた。
技術的な詳細
CVE-2026-5281はChromeのDawnコンポーネントに存在するuse-after-freeバグで、レンダラープロセスをすでに侵害した状態のリモート攻撃者が、細工したHTMLページを通じて任意のコードを実行できる可能性がある。Dawnはブラウザのグラフィックス処理に使われるWebGPU標準のクロスプラットフォーム実装であり、最新のGPUアクセラレーションAPIとして広く利用されている。
修正済みバージョンはWindows・macOS向けが146.0.7680.177および146.0.7680.178、Linux向けが146.0.7680.177。ChromiumベースのブラウザであるMicrosoft Edge、Brave、Opera、Vivaldも同様の影響を受けるため、各ベンダーのアップデートも追って提供される見込みだ。Googleは多数のユーザーへのアップデート適用が完了するまで、技術的詳細と攻撃手法の具体的情報を非公開とする方針を取っている。
2026年のChromeゼロデイ連続攻撃という背景
今回のCVE-2026-5281は、2026年に入ってから4件目のアクティブ悪用Chromeゼロデイとなる。2月にはCSSコンポーネントのuse-after-free(CVE-2026-2441)、3月にはSkia 2DグラフィックスライブラリのCVSS 8.8の欠陥(CVE-2026-3909)およびV8 JavaScriptエンジンの同スコア欠陥(CVE-2026-3910)と、高危険度の脆弱性が連続して実際の攻撃に悪用されている。ブラウザを標的とした脅威アクターによる継続的な攻撃活動が際立っており、迅速なパッチ適用の重要性が改めて浮き彫りになっている。
推奨対応
ユーザーはChromeをバージョン146.0.7680.177以上(Linuxの場合)または146.0.7680.178以上(Windows・macOSの場合)に速やかにアップデートすることが強く推奨される。Chromeはメニュー→「ヘルプ」→「Google Chromeについて」から更新を確認・適用できる。連邦政府機関はCISAの指令に基づき、2026年4月15日が修正期限となっている。