世界人口の約40%が同じウェブブラウザを利用しているとなれば、そのブラウザに影響するセキュリティに関する問題も、それに見合う大きな問題になる。推定35億人のユーザーを抱えるGoogle Chromeがまさにそのブラウザであり、最新のセキュリティアップデートをめぐって新たな警告が出された。
今回、新たに公表された脆弱性は3件だ。筆者が以前報じた60件という驚異的な数に比べれば少ないものの、ニュースとしての重要性が下がるわけではない。Chromeを担当するスリニバス・シスタによれば、今回の最新アップデートでは実際には19件のセキュリティ問題を修正している。ただし、アップデートの警告で記載されたのは、外部研究者が報告した3件の脆弱性だけだ。
もちろん朗報は、グーグルがChromeのすべてのユーザーに向けて、見つかったすべてのセキュリティ問題に対処するアップデートの配信を開始したことだ。悪い知らせは、そのアップデートが全ユーザーに届くまで数日、場合によっては数週間かかる可能性があると、グーグルが認めていることだ。
現時点でわかっていることと、これらの脆弱性から生じる可能性のある脅威からできるだけ早く身を守るために、次に何をすべきかを説明する。
Google Chrome 147.0.7727.116──新たなセキュリティ脆弱性が確認、今すぐ更新を
Google Chromeの最新セキュリティアップデート発表によれば、Windows、Linux、Macで同ブラウザを使っているユーザーは、近くバージョン147.0.7727.116へのアップデートが提供されることに注意すべきだ。一部のWindowsおよびMacユーザーでは、147.0.7727.117になる可能性もある。Androidユーザーもアプリを更新すべきだ。同様のセキュリティ問題に対処できるようにするためだ。
「大多数のユーザーが修正版に更新するまで、バグの詳細や関連リンクへのアクセスを制限したままにする場合があります」とシスタは述べる。さらにグーグルは、「そのバグが、他のプロジェクトも同じように依存しているが、まだ修正されていないサードパーティー製ライブラリに存在する場合にも、制限を維持します」とも付け加えている。
では、わかっていることは何か。グーグルの投稿に記載され、公式の共通脆弱性識別子(CVE)と深刻度評価が付与された3件のバグは、以下の通りである。
CVE-2026-6919は、Chrome DevTools(開発者ツール)コンポーネントに存在する、深刻度「高」のuse-after-free(解放済みメモリ使用)脆弱性である。悪用された場合、攻撃者は悪意を持って細工したウェブページを通じて、セキュリティ上の隔離環境であるサンドボックスを突破できる可能性がある。
CVE-2026-6920は、GPUに存在する深刻度「高」のout-of-bounds read(境界外読み取り)脆弱性である。筆者が見る限り、CVE-2026-6919と同様の攻撃を可能にする性質があるようだ。
一方、CVE-2026-6921は、GPUに存在する深刻度「中」の脆弱性だ。同じ結果を招く可能性があるが、今回は悪意を持って作成された動画ファイルを使う点が異なる。
幸いなことに、Chromeのアップデートは自動で処理される。とはいえ、待つよりも自分で更新しておいて損はない。ブラウザ右上の三点メニューを開き、「ヘルプ」から「Google Chromeについて」に進めばよい。最後に表示されるブラウザ再起動の指示には必ず従う必要がある。再起動しなければ、アップデートは有効にならない。
