グーグルのウェブブラウザ「Chrome」が、史上最多となる429件の脆弱性を一度に修正するパッチを公開してからわずか1週間。35億人のユーザーは今、規模こそはるかに小さいものの、より重大とも言える更新に直面している。
今回のアップデートには、すでに悪用コードが出回っているゼロデイ脆弱性(修正パッチの提供前に攻撃手法が判明している脆弱性)への対応が含まれている。
米国時間6月2日のセキュリティアップデートが、429件という驚異的な数の脆弱性を修正した、Chrome史上最大のアップデートとなった。これは主に、AIツールが脆弱性発見のプロセスに与えている影響によるものだ。
最新となる米国時間6月10日のアップデートで修正された脆弱性は計72件と少なく、そのうち17件が共通脆弱性識別子(CVE:脆弱性を一意に識別する国際的な仕組み)の深刻度評価で「クリティカル(緊急)」とされている。
しかし、規模がすべてだと考えるのは誤りだ。これらの脆弱性のうち、303f06e3という名で知られるセキュリティ研究者が発見し、グーグルから5万5000ドル(約882万円)のバグ報奨金が支払われた「CVE-2026-11645」は、ゼロデイ脆弱性だ。これが重大なのは、ChromeのV8 JavaScriptエンジンにおけるこの領域外メモリアクセスの問題に対して、すでに実際の攻撃に使える悪用コードが出回っているためだ。
以下、Chrome 149.0.7827.102/.103について知っておくべきこと、そして、この重要な保護を一刻も早く適用するために手動でアップデートを実行する方法を解説する。
Chrome 149アップデートは72件の脆弱性を修正、悪用済みゼロデイも含む
今回のアップデートにおける好材料は、グーグルのアップデート告知に含まれる72件のセキュリティ脆弱性すべてが、Windows版とMac版のバージョン149.0.7827.102/.103、およびLinux版とAndroid版の149.0.7827.102のリリースによって修正されたことだ。
