ChromeのWindows/Mac版でCSSゼロデイ脆弱性の更新を配布

 (chromereleases.googleblog.com)
3 ポイント 投稿者 GN⁺ 2026-02-20 | 2件のコメント | WhatsAppで共有
  • GoogleがChromeデスクトップ版の安定チャネル更新をリリースし、CVE-2026-2441として識別されるCSS関連のゼロデイ脆弱性が含まれている
  • Googleはこの脆弱性が実際の攻撃で悪用されている(in the wild)ことを確認しており、ユーザーはセキュリティリスクを最小化するため直ちに最新版へ更新する必要がある
  • 更新はWindows、macOS、Linux向けChromeに順次配布中

Chrome安定チャネル更新の概要

  • Googleはデスクトップ向けChromeの**安定チャネル(Stable Channel)**更新を発表
    • Windows/Macは145.0.7632.75/76、Linuxは144.0.7559.75
    • 更新はWindows、macOS、Linuxプラットフォームに配布される
    • 自動更新を通じて順次適用予定

セキュリティ脆弱性 CVE-2026-2441

  • 今回のバージョンには**CVE-2026-2441**として指定されたセキュリティ脆弱性が含まれる
    • CSS処理過程で発生するゼロデイ脆弱性であることが確認された
    • Googleはこの脆弱性が実際の攻撃に悪用されていると明記

ユーザーへの推奨対応

  • GoogleはすべてのユーザーにChromeを直ちに最新版へ更新するよう推奨
    • 自動更新が完了していない場合は手動で更新可能
    • 最新版を適用すれば当該脆弱性から保護可能

配布とサポート

  • 更新は安定チャネルを通じて段階的に配布
    • 一部のユーザーでは更新が適用されるまで時間を要する場合がある
  • Chromeチームは追加のセキュリティ改善と安定性向上を継続的に進めている

関連記事

2件のコメント

 
xguru 2026-02-20

アップデートしたのですが、すでにMacは145.0.7632.110までバージョンが上がっていますね。

CSS内部でフォント処理を行う際に、無効化されたアドレスを使い続けるUse-After-Freeが発生し、システムの乗っ取りまで可能になる脆弱性で、単にWebサイトを開くだけでも成立します。しかも、すでにこの脆弱性を悪用していたところがあったとのことです。
 
GN⁺ 2026-02-20
Hacker News の意見

  • Google Chromium の CSS における use-after-free 脆弱性 が発見された
    悪意ある HTML ページを通じてリモート攻撃者がヒープ破損を引き起こせる問題で、Chrome だけでなく Edge、Opera など Chromium ベースのブラウザ全般に影響する可能性がある
    かなり深刻な問題に見え、研究者が受け取った バグバウンティ額 が気になる

    • 2 万ドル以上ではない気がする
      深刻な脆弱性を見つけ、再現可能な エクスプロイト を作るのにかかる労力を考えると、報奨金は低すぎると感じる
    • Firefox は影響を受けないようだ
    • Electron アプリも影響を受ける可能性がある
      多くが Chrome のバージョンを固定(pinning)しているためだ
    • 実際に意味のある攻撃にするには sandbox escape が必要だ
      ただし「wild で発見された」というのは、すでに sandbox escape まで含む攻撃チェーンが存在することを意味するのかもしれない
    • use-after-free をいまだに軽く見る風潮が問題だと思う
      21 世紀のシステム言語でこうしたバグをなくせていないのは恥ずかしいことだ

  • Chromium/Blink コードベースの 暗い片隅 には、まだこうしたバグが潜んでいそうだ
    こうした中核プロジェクトなら、専任の人員を置いてコード全体を継続的に検証すべきだ
    スマート冷蔵庫連携のような機能より、こうしたセキュリティ強化のほうがはるかに価値ある投資だと思う

    • Chromium はすでに 積極的なファジング を行っている
      十分に強力なファザーなら、到達できない領域はほとんどないはずだ

  • 「Use after free in CSS」という表現は少しおかしい

    • おそらく CSS パーサーや CSSOM を指しているのだろう
    • なぜそんな表現にしたのか気になる

  • この脆弱性が実際にどんな影響を持つのかよく分からない
    サンドボックス脱出や XSS がなければほぼ無害に見えるが、PoC コード を見ると
    レンダラープロセス内での任意コード実行、情報漏えい、Cookie・セッションの窃取、DOM 改変、キーロギングなどさまざまな攻撃が可能だという

    • ブラウザ攻撃は通常 2 段階で行われる
      まずレンダラーバグでサンドボックス内の任意コード実行を得て、その後 sandbox escape で完全なシステム権限を得る構造だ
      この脆弱性はその第 1 段階にあたり、すでに実際の攻撃に使われていたなら第 2 段階も存在する可能性が高い

  • いまだにこうしたメモリ脆弱性が出てくるのは驚きだ
    メモリ安全言語のように 検証済みバイナリ を作るツールがあるのではないかと思う
    CSS も今では変数、スコープ、プリプロセッサ機能が増えて複雑になっており、「no-script」のように「no-style」拡張も必要かもしれない
    今回の報告が単純なミスなのか、多段階攻撃チェーンなのか気になる

    • そうしたツールがないわけではないが、Chromium はすでに利用可能な sanitizer と fuzzing を最大限活用している
      問題はテストカバレッジだ。コードベースがあまりに巨大なため完全なカバレッジを確保しにくく、その隙間でこうした脆弱性が生まれる
    • 「no-style」は現実的には不可能だ
      CSS は Web の中核なので、取り除けばサイトのほとんどが壊れる
      代わりに 隔離実行(isolation) 方式が代案になりうる
      ブラウザセッションをリモートサーバーからストリーミングすれば、ゼロデイが発生してもローカルではなくリモートインスタンスだけが影響を受ける
      完璧ではないが、攻撃面を狭める 多層防御 戦略だ

  • Chromium チームが使っているセキュリティツール一覧に AddressSanitizer、MemorySanitizer、libFuzzer などが挙げられていたが、OSS-Fuzz が抜けているのは興味深い

    • OSS-Fuzz は独自のファザーではなく、上で挙げられた sanitizer とファジングエンジンを統合 して使うプラットフォームだ

  • パッチ配布後に PoC コード を見てみたい

  • Chromium を Rust で書き直す べきだという冗談が出ている

    • 実際には Blink エンジンの一部は GC ベースの C++ に書き直され、似たような効果を狙っていた
    • むしろ Mozilla の Servo エンジン に投資するほうがよいという意見もある

  • CVE を調べると イシューページ は存在するが
    「Access is denied」と表示される
    ログインしないとアクセスできない非公開状態のようだ