グーグルは、世界で最も広く使われているウェブブラウザー、Chromeの新たなセキュリティアップデートを発表した。Chromeは複数のプラットフォームで推定38億人が利用しているが、今回公表された脆弱性の一覧でも、ある種類の不具合が目立っている。
Chromeの公式リリース情報には、27件のセキュリティ脆弱性が記載されている。そのうち13件が「解放後使用(use-after-free)」に分類され、2件は深刻度が「緊急(Critical)」、10件は「高(High)」と評価された。
もっとも、6月2日のアップデートでは同種の問題が110件含まれていたため、それと比べれば今回は少なく見える。とはいえ、そもそも解放後使用とはどのような不具合なのか。なぜ頻繁に見つかり、しかも危険なのだろうか。
iOSを除く全プラットフォームに影響する27件を7月8日に修正
グーグルのテクニカルプログラムマネージャーであるダニエル・イップは、7月8日にChromeを更新した理由を明らかにした。正確には27件ある。いずれもセキュリティ上の脆弱性であり、iOSを除くすべてのプラットフォームでChrome利用者に影響する。
このうち24件は、AIを含む複数の社内検出ツールを使い、グーグル自身が発見した。また、全27件のうち13件が解放後使用の脆弱性だった。
深刻度が緊急の「CVE-2026-15129」は、Chromeの「Views」コンポーネントに影響
私見では、この中で最も重要なのは、深刻度が「緊急」と評価された「CVE-2026-15129」だ。
グーグルは、この解放後使用の脆弱性について、Chromeの「Views」コンポーネントに影響すること以外、技術的な詳細をまだ公表していない。しかし、セキュリティ情報を扱うVulDBが分析したところ、この不具合はブラウザーのユーザーインターフェースを構成する仕組みの中で発生するという。
具体的には、メモリー管理機能がオブジェクトの有効期間を正しく追跡できなくなる。その結果、攻撃者が悪意あるウェブコンテンツを使い、遠隔からコードを実行できる可能性が生じる。
悪意あるサイトを開くだけで攻撃、ただしゼロデイ脆弱性は含まれず
したがって、この脆弱性が「緊急」と評価されたのは妥当だ。悪用されれば、利用者は悪意あるウェブサイトを開くだけで攻撃を受ける可能性がある。それ以外の操作は必要ではない。
VulDBは、この脆弱性によって、ブラウザーの表示処理を担うレンダリングエンジン内に、極めて重大な攻撃経路が生まれると警告している。
ただし、今回のアップデートで修正された脆弱性の中に、Chromeのゼロデイ脆弱性は含まれていない。つまり、修正が公開される前から攻撃に使われていたと確認されたものはなく、執筆時点で悪用事例も報告されていない。
最新のChromeアップデートで修正された脆弱性の全一覧は、公式情報で確認できる。ここからは、解放後使用の不具合とは何か、そして、なぜ頻繁に発生し、大きな危険につながり得るのかを詳しく見ていく。



