つみかさね

CVE-2026-3910

High(8.8)

CVE-2026-3910 — Chrome V8 コード実行

公開日: 2026-03-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle146.0.7680.75 未満
CVEChromeV8コードインジェクション

概要

Google Chrome の JavaScript エンジン で ある V8 に おいて、不適切 な 実装(Inappropriate Implementation)に 起因 する 脆弱性 が 発見 されました。この 脆弱性 は CVE-2026-3910 として 採番 されて おり、Chromium の セキュリティ 深刻度 は High と 評価 されて います。

攻撃者 は 特別 に 細工 された HTML ページ を 利用 して、V8 エンジン の 実装 上 の 不備 を 悪用 し、Chrome の レンダラー プロセス の サンドボックス 内 に おいて 任意 の コード を 実行 する こと が 可能 です。サンドボックス に よって 直接的 な OS レベル の アクセス は 制限 されます が、サンドボックス 内 で の コード 実行 は 他 の 脆弱性 と の 組み合わせ に より サンドボックス エスケープ に 発展 する リスク が あります。

V8 は Chrome の 中核 を 担う JavaScript および WebAssembly の 実行 エンジン で あり、JIT コンパイル に よる 高速化 を 実現 して います。JIT コンパイラ の 最適化 過程 で の 不備 は、型混同(Type Confusion)や メモリ 破壊 に つながる 場合 が あり、V8 の 脆弱性 は 過去 にも 多数 の ゼロデイ 攻撃 に 利用 されて きました。

この 脆弱性 は CWE-94(コードインジェクション)および CWE-119(メモリ バッファ 境界内 の 操作 に 対する 不適切 な 制限)に 分類 されて います。コードインジェクション は 攻撃者 が 意図 しない コード を 実行 させる 脆弱性 の 総称 で あり、特に ブラウザ の コンテキスト で は ユーザー の セッション 情報 や 機密 データ へ の アクセス を 許す 可能性 が あります。

米国 サイバーセキュリティ・インフラストラクチャ セキュリティ庁(CISA)は この 脆弱性 を Known Exploited Vulnerabilities(KEV)カタログ に 登録 して おり、実際 の 攻撃 で の 悪用 が 確認 されて います。KEV カタログ へ の 登録 は、脆弱性 の 深刻性 と 緊急性 を 示す 重要 な 指標 です。連邦政府 機関 は 期限内 の 対策 が 義務付け られて おり、民間 組織 に おいても 即座 の 対応 が 強く 推奨 されます。

V8 の 脆弱性 は Node.js や Deno など サーバーサイド の JavaScript ランタイム にも 影響 を 及ぼす 可能性 が ある ため、これら の 環境 を 運用 して いる 場合 も 対応 状況 の 確認 が 必要 です。

CVSSベクトル

項目
CVSSスコア8.8 (High)
攻撃元ネットワーク
攻撃条件
認証不要
ユーザー操作必要(悪意ある ページ の 閲覧)
CWECWE-94 (コードインジェクション), CWE-119 (メモリ境界)
Chromium 深刻度High
CISA KEV登録済み

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle146.0.7680.75 未満

V8 エンジン を 共有 する Chromium 系 ブラウザ(Microsoft Edge、Brave、Vivaldi、Opera など)も 同様 の 影響 を 受ける 可能性 が あります。各ブラウザ ベンダー が 提供 する セキュリティ アップデート を 適用 して ください。

修正バージョンと回避策

  • 修正バージョン: Chrome 146.0.7680.75 以降 へ の アップデート
  • 更新方法: Chrome メニュー の 「ヘルプ」→「Google Chrome について」から 自動更新 を 確認
  • 暫定回避策: 信頼 できない Web サイト へ の アクセス を 控える。JavaScript を 無効 に する ことで 攻撃 面 を 縮小 できる が、多く の Web サービス が 動作 しなく なる ため 現実的 で は ない 場合 が ある
  • サーバーサイド対策: Node.js や Deno を 運用 して いる 場合 は、V8 の バージョン が 修正済み で ある こと を 確認 する
  • 組織向け対策: CISA KEV 登録 に 基づき、速やか に パッチ を 展開 する。エンドポイント 管理 ツール を 活用 した 一括 アップデート を 推奨

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-3909Chrome Skia 境界外書き込みCVSS 8.8CVE-2026-3936Chrome WebView Use-After-FreeCVSS 8.8

参考リンク

Chrome Releases Blog:https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html
Chromium Issue:https://issues.chromium.org/issues/491410818
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-3910
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-3910
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。