つみかさね

CVE-2026-10966

Critical(9.6)

CVE-2026-10966 — Google Chrome Codecs サンドボックス脱出脆弱性

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle< 149.0.7827.53

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Chromeのバージョンを確認する(アドレスバーに chrome://version と入力)
  2. 2149.0.7827.53未満の場合はHelp > About Google Chromeから更新する
  3. 3企業展開環境の場合はChromeポリシーを更新する

影響対象

Google Chromeユーザー(全プラットフォーム)

補足

  • -Chromeは通常自動更新されますが、設定で無効化している場合は手動更新が必要です
CVEGoogle Chromeサンドボックス脱出ブラウザ動画

概要

Google ChromeのCodecsコンポーネントに不適切な実装(CWE-20)が存在します。リモートの攻撃者が細工した動画ファイルを使用することで、潜在的にサンドボックス脱出が可能になります。

本CVEはGoogle Chromeバージョン149.0.7827.53で修正された多数のセキュリティ修正の一つです。同バージョンでは他にも多数のCritical・High脆弱性(Use after free、整数オーバーフロー、不正な入力検証等)が修正されています。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionRequired
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.6 (CRITICAL)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Google Chrome149.0.7827.53未満(全プラットフォーム)149.0.7827.53

Chrome 149.0.7827.53 で修正された主な脆弱性

CVECVSS内容
CVE-2026-109669.6Codecs 不適切な実装 → サンドボックス脱出
CVE-2026-109729.6Ozone UAF (Linux) → サンドボックス脱出
CVE-2026-110219.6GPU 不十分な検証 → サンドボックス脱出
CVE-2026-109558.8ANGLE 型混同 → OOBメモリアクセス
CVE-2026-111168.8Chromoting UAF → 任意コード実行

修正バージョンと回避策

  • Google Chrome 149.0.7827.53 以降へアップデートする
  • ChromeはHelp > About Google Chromeから更新確認が可能
  • 企業環境では早期にバージョンポリシーを更新することを推奨

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-10972Chrome Ozone Use-after-free (Linux) サンドボックス脱出CVSS 9.6CVE-2026-10955Chrome ANGLE型混同 OOBメモリアクセスCVSS 8.8CVE-2026-11116Chrome Chromoting UAF 任意コード実行CVSS 8.8

参考リンク

Chrome Releases:https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-10966
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。