CVE-2026-12008

High(8.3)

CVE-2026-12008 — Google Chrome DigitalCredentials Use-After-Free（CVSS 8.3）

公開日: 2026-06-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Google Chrome	Google	< 149.0.7827.115

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

1Google Chromeのバージョンを確認する（chrome://settings/help）
2Chrome 149.0.7827.115以降へ更新する
3組織内の全端末でChrome更新が完了しているか確認する

影響対象

Google Chrome利用者全般

補足

-Chromeは通常自動更新されますが、更新が完了しているか手動で確認することを推奨します

CVEGoogle ChromeUse-After-Freeサンドボックス脱出ブラウザ

概要

Google Chrome の DigitalCredentials コンポーネントに Use-After-Free の脆弱性（CWE-416）が発見されました。レンダラープロセスを侵害した攻撃者が、細工したHTMLページを通じてサンドボックス脱出を実行できる可能性があります。

同一リリース（Chrome 149.0.7827.115）では複数の脆弱性が修正されており、代表的なものに以下があります：

CVE-2026-12027（CVSS 9.6）— Headless サンドボックス脱出
CVE-2026-12014（CVSS 8.3）— Cast Use-After-Free サンドボックス脱出
CVE-2026-12016（CVSS 8.3）— DevTools サンドボックス脱出
CVE-2026-12012（CVSS 8.1）— Network Use-After-Free

CVSSベクトル

項目	値
スコア	8.3（High）
攻撃経路	ネットワーク（AV:N）
攻撃の複雑さ	高（AC:H）
必要な権限	なし（PR:N）
ユーザー操作	必要（UI:R）
CWE	CWE-416（Use-After-Free）

影響を受けるソフトウェア

Google Chrome 149.0.7827.115 未満

修正バージョンと回避策

Google Chrome を 149.0.7827.115 以降にアップデートしてください。Chrome は通常自動更新されますが、設定から手動で更新確認することを推奨します。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-12027Chrome Headless サンドボックス脱出CVSS 9.6 CVE-2026-12018Chrome Mojo 権限昇格CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12008

Chrome Releases:https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_01962725236.html

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。