グーグルは、Chromeウェブブラウザーについて、合計79件ものセキュリティ問題の詳細を公表した。影響する対象OSは、Android、Linux、macOS、Windowsの各版だ。
Chromeで、深刻度「クリティカル」の脆弱性14件が判明
これら問題は、米国時間5月12日に「詳細は近く公開される」とすでに告知されていたものだ。今回公表された情報には、これらのセキュリティ脆弱性のうち計14件が深刻度「クリティカル(深刻)」に分類されているという事実も含まれている。できるだけ早く修正すべきなのは言うまでもない。
ただし、該当するChromeのセキュリティ更新は「ただちに」ではなく「近日中に」順次配信されるという。では、どう対応するのが最善なのか。ご安心いただきたい。本稿では、Chromeの更新方法を解説する。中でも重要なのは、配信の順番待ちを飛ばして、今すぐ必須のブラウザー保護を適用する方法である。
グーグルのセキュリティ問題の中には、修正が容易ではないものもある。このことは今週、嫌というほど明らかになった。筆者は米国時間5月12日、Gmailの利用者を攻撃の危険にさらす設計上の重大な欠陥について、明確な修正策のないまま放置されている状況を報じた。さらに昨日には、グーグルがAndroid 16のVPNバイパス脆弱性を修正しない方針だと表明したことも伝えたばかりだ。幸い、Chromeを使っている人にとっては、新たなセキュリティ問題から身を守るのははるかに簡単である。
公表されたセキュリティ脆弱性の総数は合計79件
グーグルは、セキュリティ脆弱性が公表されるとChromeを定期的に更新している。最新のものは、グーグルのスリニバス・シスタが米国時間5月12日に投稿した告知で示された。その更新の理由が明らかになるまでには数日を要したが、米国時間5月15日になって79件のセキュリティ脆弱性──そう、79件で間違いない──の詳細が追加された。このうち14件のCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)には、CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)で最上位の「クリティカル(深刻)」評価が付与されている。これはほぼ最悪に近い水準だ。
自動更新を待たずにChromeをアップデートする手順
これより悪い状況があるとすれば、すでに攻撃者によって悪用されている、いわゆる「ゼロデイ脆弱性」が含まれている場合だが、今回はそうしたものは確認されていない。ただし注意点がある。シスタが認めているとおり、更新は「今後数日から数週間かけて順次配信される」予定だ。
幸い、更新が利用者の手元に届けば、Chromeは自動的に更新される。ブラウザーを再起動すれば保護された状態になる。さらに朗報なのは、以下の非常に簡単な手順で配信の順番待ちを飛ばし、対応の遅れを避けられることだ。
・ブラウザーの右上にある三点アイコン(︙)のメニューをクリックし、「ヘルプ」→「Google Chrome について」を選ぶ
・これによりセキュリティ更新の処理が起動し、新しいバージョンのダウンロードが始まる。今回の場合、Chromeはバージョン148.0.7778.167/168に更新される
・ダウンロードとインストールが完了したら、画面の指示に従ってブラウザーを再起動する。保護機能を有効化するには再起動が必須だ。なお、開いているタブは保存され、再起動後に再び開くはずなので心配は無用である
クリティカル評価を受けた14件のCVEと、セキュリティ研究者への報奨金
セキュリティ研究者がグーグルへの責任ある開示によって合計6万8000ドル(約1100万円。1ドル=158円換算)の報奨金を獲得した今回の14件のCVEは、以下のとおりである。
・CVE-2026-8509:WebMLにおけるヒープバッファオーバーフロー
・CVE-2026-8510:Skiaにおける整数オーバーフロー
・CVE-2026-8511:UIにおける解放後使用
・CVE-2026-8512:FileSystemにおける解放後使用
・CVE-2026-8513:Inputにおける解放後使用
・CVE-2026-8514:Auraにおける解放後使用
・CVE-2026-8515:HIDにおける解放後使用
・CVE-2026-8516:DataTransferにおける信頼できない入力の検証不備
・CVE-2026-8517:WebShareにおけるオブジェクトのライフサイクル問題
・CVE-2026-8518:Blinkにおける解放後使用
・CVE-2026-8519:ANGLEにおける整数オーバーフロー
・CVE-2026-8520:Paymentsにおける競合状態
・CVE-2026-8521:Tab Groupsにおける解放後使用
・CVE-2026-8522:Downloadsにおける解放後使用
79件すべてのセキュリティ問題についても、同程度に限定的な情報がChromeの公式セキュリティ更新告知で確認できる。グーグルは、「利用者の大多数が修正プログラムを適用するまでは」脆弱性の詳細やリンクへのアクセスを制限するとしている。読者も、その「大多数」の一員となれるように、本稿で紹介した手順を今実行してほしい。
