つみかさね

CVE-2026-13869

Critical(9.6)

Google ChromeのDeviceコンポーネントUse-after-freeによるサンドボックスエスケープ CVE-2026-13869:影響範囲と対応方法

公開日: 2026-07-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle< 150.0.7871.47 (Windows)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1chrome://version/ でChromeのバージョンを確認する
  2. 2150.0.7871.47未満の場合、chrome://settings/help から更新を適用する
  3. 3企業環境ではGoogle Chrome管理テンプレートを通じた更新状況を確認する

影響対象

Windows版Chrome利用者

補足

  • -本脆弱性はWindows版に限定されます。Mac/Linux版は対象外です
CVEChromeGoogleUse-after-freeサンドボックスエスケープWindows

30秒で判断

対応すべき人:

  • Windowsで Chrome 150.0.7871.47未満を使用している

対応不要な人:

  • Chrome 150.0.7871.47以降を使用している
  • Chromeを使用していない(Firefox、Safari、Edge等)
  • macOS・Linux版Chromeのみ使用している(本脆弱性はWindows限定)

確認コマンド:

Chromeのアドレスバーで chrome://version/ にアクセス

概要

Google Chrome 150(Windows版)に先立ち修正されたCVE-2026-13869は、Windows上のChromeのDeviceコンポーネントにおけるuse-after-freeです。

攻撃者がすでにChromeのレンダラープロセスを侵害している状況下で、細工されたHTMLページを通じてサンドボックスを脱出し、より高い権限でコードを実行できる可能性があります。

Chromiumセキュリティチームの評価ではMediumとなっていますが、NVDのCVSSスコアは9.6(Critical)と評価されています。

Chrome 150.0.7871.47には同様のChrome/Chrome for iOSの脆弱性(CVE-2026-13850、CVE-2026-13915、CVE-2026-13918、CVE-2026-14032等)も複数含まれており、このバージョンは重要なセキュリティリリースです。


CVSSベクトル

項目
スコア9.6
深刻度Critical
CWECWE-416(Use-after-free)
攻撃元区分ネットワーク (AV:N)
攻撃条件の複雑さ低 (AC:L)
必要な特権レベル不要 (PR:N)
ユーザー関与不要 (UI:N)
スコープ変更あり (S:C)
機密性への影響高 (C:H)
完全性への影響高 (I:H)
可用性への影響高 (A:H)

影響を受けるソフトウェア

製品プラットフォーム影響バージョン修正バージョン
Google ChromeWindows150.0.7871.47未満150.0.7871.47以降

修正バージョンと回避策

推奨対応: Chrome 150.0.7871.47以降へアップデート

Chromeは通常、自動更新で最新バージョンに更新されます。メニュー「その他ツール → Google Chromeを更新」から手動確認も可能です。

企業環境ではGoogle Chromeの管理テンプレート(ADMXポリシー)を使用して一括更新を管理してください。


関連リンク


データソース: NVD (NIST), Google Chrome Releases
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。