概要
Googleは2026年4月15日、Chrome安定版チャンネルをWindows・macOS向けに147.0.7727.101/102、Linux向けに147.0.7727.101へアップデートし、合計31件のセキュリティ脆弱性を修正した。このうち5件は最高深刻度の「Critical」に分類されており、悪用に成功した攻撃者がターゲットシステム上で任意のコードを実行できる危険性があるとして、Googleはすべてのユーザーに即時更新を強く推奨している。
Critical脆弱性の詳細
今回修正されたCritical評価の脆弱性は、Chromeが内部的に依存する複数のグラフィックス・システムコンポーネントに集中している。
- CVE-2026-6296:ANGLEグラフィックスエンジンにおけるヒープバッファオーバーフロー。ANGLEはWebGLなどブラウザのグラフィックス処理を担う重要レイヤーであり、細工されたコンテンツを表示するだけで攻撃が成立する恐れがある。
- CVE-2026-6298:Skia 2Dグラフィックスライブラリにおけるヒープバッファオーバーフロー。Skiaは文字や画像のレンダリングに広く使われており、影響範囲が広い。
- CVE-2026-6297:Proxyコンポーネントにおけるuse-after-free脆弱性。研究者「heapracer」が2026年3月17日に報告したもので、解放済みメモリへの不正アクセスを通じてコード実行が可能となる。
- CVE-2026-6299:Prerender機能におけるuse-after-free脆弱性。Google社内のエンジニアが発見した。
- CVE-2026-6358:XR(拡張現実)コンポーネントにおけるuse-after-free脆弱性。ソウル国立大学Compsec LabのJihyeon Jeong氏が発見・報告した。
これらの脆弱性を悪用すると、管理者権限なしに悪意あるプログラムの実行、機密データの窃取、システムの完全制御といった深刻な被害が生じる可能性がある。
対策と更新方法
ユーザーはChromeのメニューから「ヘルプ」→「Google Chromeについて」を開くことで最新バージョンの確認と自動更新を実施できる。更新後はブラウザの再起動が必要となる。企業環境では管理者がグループポリシーまたはChromeエンタープライズ管理ツールを通じて展開を管理することが推奨される。現時点でアクティブな悪用は報告されていないが、Criticalレベルの脆弱性は攻撃者の標的になりやすいため、迅速な適用が重要だ。