どうか落ち着いて聞いてほしいのだが、グーグルは世界で最も利用されているウェブブラウザーChromeに影響するセキュリティ脆弱性が合計29件確認されたと発表した。その中で最も深刻で、唯一「Critical」(緊急)と評価されたのが「CVE-2026-3913」である。この深刻度が付された理由は単純だ。悪意を持って細工されたウェブページを1度開くだけで、攻撃者が遠隔からコードを実行できてしまうのだ。以下に知っておくべきことをまとめる。
グーグルChromeのセキュリティ脆弱性「CVE-2026-3913」
Criticalと評価された3件を含む10件のChrome脆弱性に対処したセキュリティアップデートに続いて間もなく、グーグルはさらに新たなセキュリティアップデートを公開した。今回修正されたセキュリティ上の問題は実に29件に上るが、Critical評価となったのは1件のみである。
CVE-2026-3913について、グーグルは「WebMLにおけるヒープバッファオーバーフロー脆弱性」と説明している。WebMLとは、Chromeブラウザー上で高性能なオンデバイスAI機械学習推論を可能にするコンポーネントである。このコンポーネントには、プログラムがメモリーの割り当て量を超えてデータを書き込んでしまうという不具合があり、攻撃者に悪用されるおそれがあった。
グーグルに報告した研究者に、報奨金約525万円が支払われる
この不具合をグーグルに報告したセキュリティ研究者トビアス・ヴィーナント(Tobias Wienand)には、脆弱性報奨金として3万3000ドル(約525万円)が支払われた。この脆弱性を悪用するよう設計されたウェブページにユーザーが単にアクセスするだけで、リモートコード実行(遠隔からの不正なコード実行)につながるおそれがある。
グーグルは、すでに修正アップデートを公開済み
幸いなことに、グーグルはすでに修正アップデートを公開しており、Windows、Mac、Linuxの各ユーザーへの配信が始まっている。安定版リリースのバージョンはChrome 146に引き上げられた。最新のセキュリティパッチを含む具体的なリリース番号は、使用しているOSによって異なる。Linuxユーザーの場合はChrome 146.0.7680.71、WindowsおよびMacユーザーの場合はChrome 146.0.7680.71またはChrome 146.0.7680.72となる。
アップデートは自動で行われるが、グーグルによれば全ユーザーへの展開には数日から数週間かかる可能性があるという。世界で約40億人のユーザーを抱えていることを考えれば、驚くにはあたらない。ブラウザーが更新済みかどうかは、三点(︙)メニューの「ヘルプ|Google Chromeについて」からChromeのバージョンを確認することで把握できる。この確認操作を行うだけで、まだインストールされていない場合はアップデートが開始される。やるべきことはおわかりだろう。
