グーグルは、世界で最も利用者の多いウェブブラウザー「Chrome」について、合計10件の新たなセキュリティ脆弱性を確認した。Chromeの利用者は約40億人に上る。悪いニュースは、このうち3件が重大と評価されており、利用者に対するリモート攻撃を可能にする点である。良いニュースは、Windows、Mac、Linuxの利用者向けセキュリティアップデートの配信がすでに始まっており、Chromeブラウザーは自動的に更新される点だ。
また、アップデート後は必ずブラウザーの再起動すること。そうしないと、せっかく更新しても有効にならない。タブを大量に開いたまま再起動を避けがちな人は特に注意だ。
Chromeの安定版リリースサイクルが、9月から2週間ごとに短縮される
グーグルは、2つの発表を新たに行った。1つ目はChromeの安定版リリースサイクルに関するもので、9月から4週間ごとではなく2週間ごとに短縮される。
グーグル、Chromeのセキュリティ脆弱性CVE-2026-3536、CVE-2026-3537、CVE-2026-3538を確認
2つ目の発表は、すでにそれよりはるかに高い頻度──実際には毎週──行われているセキュリティアップデートサイクルの一環だ。
今回のChromeブラウザーに関する最新のセキュリティ警告は、攻撃者に悪用される前に見つかった不具合を対象としている。10件のCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)のうち3件が、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)で重大に分類されていることを考えれば、それは不幸中の幸いだ。
実際、このうち2件については、開示した研究者にグーグルから高額の報奨金が支払われた。グーグルのテクニカルプログラムマネージャーであるスリニバス・シスタは、その金額がそれぞれ3万3000ドル(約521万円)と3万2000ドル(約505万円)だと認めている。
・CVE-2026-3536:Chromeのグラフィックス層であるANGLEコンポーネントにおける整数オーバーフローだ
・CVE-2026-3537:PowerVRコンポーネントにおけるオブジェクトのライフサイクル上の問題
・CVE-2026-3538:Skiaグラフィックスエンジンコンポーネントにおける、別の整数オーバーフロー脆弱性だ
前述の通り、このセキュリティアップデートは現在配信中だ。Chromeブラウザーがこれらの脅威から保護されているかどうかは、次のバージョン番号を確認すれば分かる。
・Windows向け:145.0.7632.159/160
・Mac向け:145.0.7632.159/160
・Linux向け:145.0.7632.159
Chromeブラウザーのバージョンは、右上三点メニューの[ヘルプ]→[Google Chrome について]で確認できる。まだアップデートがインストールされていない場合は、この操作によって更新処理も始まる。繰り返すが、アップデート後は必ずブラウザーの再起動すること。
