グーグルは、世界で最も利用されているウェブブラウザー(アクティブユーザー35億人)であるChromeを引き続き定期的にアップデートしているが、今回の最新版は151の理由で際立っている。これは修正されたセキュリティ脆弱性の件数だ。そのうち22件は、CVE(共通脆弱性識別子)の深刻度評価で「重大(Critical)」に分類されている。
読者に留意してほしいのは、これらが脆弱性であって実際の攻撃手口(エクスプロイト)ではないという点であり、これは重要な違いである。Windows版Chromeのバージョン148.0.7778.216/217のアップデートでグーグルが修正した脆弱性のうち、攻撃者によって悪用されたことが判明しているものは1つもない。実際これらは、グーグル自身で働くセキュリティ研究者と、外部の報奨金ハンターによって発見されたものである。このアップデートは間もなく各自の環境にも配信されるが、念のため手動で強制的に適用することもでき、その方法については後ほど説明する。
グーグル、Chromeの重大なセキュリティ脆弱性22件を修正──報奨金は約1629万円
「重大(Critical)」というCVE評価だけでも、これら22件の脆弱性が修正前に攻撃者に悪用された場合、どれほど深刻な問題になり得たかは分かる。さらに、その深刻さを示すもう1つの手がかりが、グーグルがすでに確認しているバグ報奨金の支払い額だ。対象はこのうち4件だけだが、総額は10万2000ドル(約1629万円)に上る。
内訳は、CVE-2026-9872とCVE-2026-9873にそれぞれ4万3000ドル(約687万円)、CVE-2026-9874に1万1000ドル(約176万円)、CVE-2026-9875に5000ドル(約80万円)だ。CVE-2026-9876については、報奨金が未定とされている。残る17件はグーグル自身が発見したため、報奨金の対象外である。
以下が「深刻(Critical)」と評価された22件の脆弱性だ。151件すべてのセキュリティ欠陥の完全な一覧はこちらで確認できる。
・CVE-2026-9872:GPUにおける範囲外書き込み
・CVE-2026-9873:Networkにおける解放後使用
・CVE-2026-9874:Dawnにおける解放後使用
・CVE-2026-9875:WebGLにおける範囲外読み取り
・CVE-2026-9876:WebGLにおける解放後使用
・CVE-2026-9877:ANGLEにおける解放後使用
・CVE-2026-9878:ANGLEにおける解放後使用
・CVE-2026-9879:ANGLEにおける範囲外書き込み
・CVE-2026-9880:WebGLにおける信頼できない入力の検証不足
・CVE-2026-9881:Bluetoothにおける解放後使用
・CVE-2026-9882:ANGLEにおける整数オーバーフロー
・CVE-2026-9883:Baseにおける解放後使用
・CVE-2026-9884:Browserにおける解放後使用
・CVE-2026-9885:UIにおける信頼できない入力の検証不足
・CVE-2026-9886:Baseにおける解放後使用
・CVE-2026-9887:Proxyにおける解放後使用
・CVE-2026-9888:WebViewにおける解放後使用
・CVE-2026-9889:Dawnにおける範囲外読み取りおよび書き込み
・CVE-2026-9890:XRにおける解放後使用
・CVE-2026-9891:Extensionsにおける解放後使用
・CVE-2026-9892:Skiaにおける不適切な実装
・CVE-2026-9893:Skiaにおける解放後使用
Chromeのセキュリティアップデートを今すぐ手動でインストールする方法
Google Chromeのスリニバス・シスタは、148.0.7778.216/217のセキュリティアップデートは現在順次配信中であり、各ユーザーのブラウザーに自動的に適用されると説明している。ただし、ブラウザーのセキュリティ保護を早めるには、次の手順で今すぐ手動でインストールできる。
Chromeの右上の三点メニューから「ヘルプ」→「Google Chrome について」を選択する。すると、アップデートのダウンロードとインストールが始まる。インストールが完了すると、保護を有効にするためにChromeの再起動を求められる。
