概要

Googleは2026年6月8〜9日、ChromeのJavaScriptエンジン「V8」に存在する高深刻度のゼロデイ脆弱性(CVE-2026-11645)を修正する緊急セキュリティアップデートをリリースした。CVSSスコアは8.8で、攻撃者が細工したHTMLページをユーザーに閲覧させるだけで、ブラウザのサンドボックス内で任意コードを実行できる。Googleは「野生でのエクスプロイトが存在することを確認している」と声明を出しており、実際の攻撃への悪用が認められている。

修正済みバージョンはWindows・macOSが149.0.7827.102/103、Linuxが149.0.7827.102。Chrome以外にもMicrosoft Edge、Brave、Opera、Vivaldi等のChromiumベースブラウザが影響を受けるため、各ベンダーの対応アップデートへの更新も必要となる。

技術的な詳細

CVE-2026-11645の根本原因は、V8エンジンにおける**バッファ外読み書き(Out-of-Bounds Read/Write)**だ。ヒープ破損を引き起こし、ASLR(アドレス空間配置のランダム化)などのメモリ保護機構を迂回できる状態が生じる可能性がある。攻撃は細工されたHTMLページを介してリモートから完結するため、ユーザーに特別な操作を求めない点が危険度を高めている。

脆弱性は匿名の研究者「303f06e3」が2026年4月27日にGoogleへ報告し、責任ある情報開示(Responsible Disclosure)に対して5万5,000ドルのバグバウンティ報奨金が支払われた。公開時点では技術的詳細やProof-of-Conceptコードは非公開とされており、大多数のユーザーが修正版を適用するまで情報制限が維持される見通しだ。

2026年のChromeゼロデイ連続発生

今回のCVE-2026-11645は、2026年に入って実際の攻撃で悪用が確認された5件目のChromeゼロデイとなる。過去4件はCVE-2026-2441、CVE-2026-3909、CVE-2026-3910、CVE-2026-5281であり、年間を通じてChrome V8を中心とした攻撃が継続していることが浮き彫りになっている。

組織・個人を問わず、ブラウザのアップデートは最優先の対応事項だ。Chromeのアップデートは「メニュー → ヘルプ → Google Chrome について」から適用でき、適用後はブラウザの再起動が必要となる。企業環境では、古いバージョンの残存確認と集中管理による強制更新も推奨される。