概要
Google Chrome の グラフィックス エンジン で ある Skia に おいて、境界外書き込み(Out-of-Bounds Write)の 脆弱性 が 発見 されました。この 脆弱性 は CVE-2026-3909 として 採番 されて おり、Chromium の セキュリティ 深刻度 は High と 評価 されて います。
攻撃者 は 特別 に 細工 された HTML ページ を 通じて、Skia の レンダリング 処理 に おける メモリ 操作 の 不備 を 悪用 し、プロセス の メモリ 空間 に おいて 境界外 の 領域 に 不正 な データ を 書き込む こと が 可能 です。境界外書き込み は メモリ 破壊 を 引き起こし、最悪 の 場合 に は 任意 の コード 実行 に つながる 可能性 が あります。
Skia は Chrome が Web ページ の 描画 に 使用 する 2D グラフィックス ライブラリ で あり、テキスト、画像、図形 など あらゆる ビジュアル 要素 の レンダリング を 担当 して います。この ため Skia の 脆弱性 は、ユーザー が 悪意 ある Web サイト を 閲覧 する だけ で 攻撃 が 成立 する 可能性 が ある 点 で 特に 危険 です。
この 脆弱性 は 米国 サイバーセキュリティ・インフラストラクチャ セキュリティ庁(CISA)の Known Exploited Vulnerabilities(KEV)カタログ に 登録 されて おり、実際 に 悪用 が 確認 されて いる こと を 意味 します。KEV 登録 は、連邦政府 機関 に 対して 期限内 の パッチ 適用 を 義務付ける もの で あり、一般 の 組織 に とっても 速やか な 対策 が 強く 推奨 されます。
CWE-787(境界外書き込み)は メモリ安全性 に 関わる 脆弱性 の 中 でも 特に 深刻 な カテゴリ で あり、MITRE の CWE Top 25 に おいて 常に 上位 に ランクイン して います。バッファ の 境界 を 超えた 書き込み は、プログラム の 実行 フロー を 改ざん し、攻撃者 が 制御 する コード を 実行 させる ため の 踏み台 と なり得ます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| ユーザー操作 | 必要(悪意ある ページ の 閲覧) |
| CWE | CWE-787 (境界外書き込み) |
| Chromium 深刻度 | High |
| CISA KEV | 登録済み |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Google Chrome | Chrome 146.0.7680.75 未満 | 全 プラットフォーム |
Chrome を ベース と する 他 の Chromium 系 ブラウザ(Microsoft Edge、Brave、Vivaldi、Opera など)も Skia を 共有 して いる ため、各ブラウザ の 対応 バージョン を 確認 し、同様 に アップデート を 行う こと が 推奨 されます。
修正バージョンと回避策
- 修正バージョン: Chrome 146.0.7680.75 以降 へ の アップデート
- 更新方法: Chrome メニュー の 「ヘルプ」→「Google Chrome について」から 自動更新 を 確認
- 暫定回避策: 信頼 できない Web サイト へ の アクセス を 控える。コンテンツ セキュリティ ポリシー の 強化 や ブラウザ の サイト分離 機能 が 有効 で ある こと を 確認 する
- 組織向け対策: CISA KEV 登録 に 基づき、可能 な 限り 速やか に パッチ を 適用 する。パッチ 管理 ツール を 用いた 一括 展開 を 検討 する
関連リンク
- Chrome Releases Blog — Stable Channel Update (2026/03/12)
- Chromium Issue 491421267
- CISA KEV — CVE-2026-3909
- NVD
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。