グーグルは、世界で最も利用されているウェブブラウザであるChromeの利用者約35億人のほぼ全員に対し、少なくとも8件の高リスク脆弱性に対処するセキュリティアップデートを提供すると確認した。幸い、最近報じられたようなゼロデイ脆弱性は今回は含まれておらず、現時点でこれらが攻撃者に悪用された証拠はない。さらに、Chromeはこれらの更新を自動で適用する。
しかしながらグーグルは、このセキュリティ更新が行き渡るまでに数日から数週間かかる可能性があると警告しており、ユーザーは自分で更新を始め、できるだけ早く保護された状態にしておくのが望ましい。以下、知っておくべき点と取るべき対応を示す。
グーグルChromeの新たなセキュリティ脆弱性についてわかっていること
グーグルのスリニバス・シスタは、ChromeがWindowsおよびMac向けに146.0.7680.164/165、Linux向けに146.0.7680.164へ更新されると確認した。一方、クリシュナ・ゴビンドもAndroidユーザー向けに同様の発表を行い、アプリは146.0.76380.164へ更新されると明らかにしている。
グーグルのセキュリティ更新に関する発表によれば、8件の脆弱性の詳細へのアクセスは「大多数のユーザーが修正版に更新されるまで制限される」という。ただ、影響はWebAudio、WebGL、WebGPU、CSSに及び、Chrome Fontsコンポーネントも影響を受けている。
8件のセキュリティ脆弱性はいずれも、Common Vulnerability Scoring System(CVSS)で深刻度「高」と評価されており、以下の通りである。
CVE-2026-4673:WebAudioにおけるヒープバッファーオーバーフロー
CVE-2026-4674:CSSにおける境界外読み取り
CVE-2026-4675:WebGLにおけるヒープバッファーオーバーフロー
CVE-2026-4676:Dawn(WebGPU実装の一部)における解放済みメモリの使用
CVE-2026-4677:WebAudioにおける境界外読み取り
CVE-2026-4678:WebGPUにおける解放済みメモリの使用
CVE-2026-4679:Fontsにおける整数オーバーフロー
CVE-2026-4680:FedCM(プライバシー重視のID認証コンポーネント)における解放済みメモリの使用
