つみかさね

CVE-2026-3936

High(8.8)

CVE-2026-3936 — Chrome WebView Use-After-Free

公開日: 2026-03-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google Chrome on AndroidGoogle146.0.7680.71 未満
Android System WebViewGoogle146.0.7680.71 未満
CVEChromeAndroidWebViewUse-After-Free

概要

Android 上 の Google Chrome における WebView コンポーネント に おいて、Use-After-Free(UAF) の 脆弱性 が 発見 されました。この 脆弱性 は CVE-2026-3936 として 採番 されて おり、Chromium の セキュリティ 深刻度 は Medium と 評価 されて います が、CVSS v3.1 の スコア は 8.8(High) です。

攻撃者 は 特別 に 細工 された HTML ページ を 通じて、WebView 内部 で 解放済み の メモリ 領域 に 再アクセス する こと で ヒープ メモリ の 破壊 を 引き起こす こと が 可能 です。Use-After-Free は メモリ 管理 に 起因 する 脆弱性 の 一種 で あり、オブジェクト が メモリ から 解放(free)された 後 に、その メモリ 領域 へ の ポインタ が 依然 として 参照 可能 な 状態 に なって いる こと で 発生 します。

WebView は Android アプリケーション 内 で Web コンテンツ を 表示 する ため の コンポーネント で あり、Chrome の レンダリング エンジン を ベース に して います。多く の Android アプリ が WebView を 利用 して アプリ 内 ブラウジング、広告 表示、OAuth 認証 フロー など を 実現 して いる ため、WebView の 脆弱性 は ブラウザ 本体 だけ で なく、WebView を 組み込んだ 多数 の サードパーティ アプリ にも 影響 が 及ぶ 点 が 特徴 です。

CWE-416(Use After Free)は メモリ安全性 に 関わる 代表的 な 脆弱性 カテゴリ で あり、ヒープ の 破壊 に より 攻撃者 が メモリ レイアウト を 操作 し、最終的 に 任意 の コード 実行 や 情報漏洩 に つなげる 手法 が 知られて います。特に モバイル 環境 で は、サンドボックス の 制約 が デスクトップ 版 と 異なる 場合 が あり、影響 範囲 が 拡大 する 可能性 が あります。

Chromium の 深刻度 が Medium で あるの に 対して CVSS が 8.8 と 高い 理由 として、ネットワーク 経由 で リモート から 攻撃 可能 で あり、ユーザー の 操作(悪意 ある ページ の 閲覧)のみ で 攻撃 が 成立 する 点 が 挙げ られます。

Android デバイス の アップデート は キャリア や 端末 メーカー に よって 配信 タイミング が 異なる ため、ユーザー は Google Play ストア から の WebView および Chrome の 更新 を 手動 で 確認 する こと が 推奨 されます。

CVSSベクトル

項目
CVSSスコア8.8 (High)
攻撃元ネットワーク
攻撃条件
認証不要
ユーザー操作必要(悪意ある ページ の 閲覧)
CWECWE-416 (Use After Free)
Chromium 深刻度Medium

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google Chrome on AndroidGoogle146.0.7680.71 未満
Android System WebViewGoogle146.0.7680.71 未満

WebView は Android の システム コンポーネント として 提供 されて おり、WebView を 利用 する 全て の Android アプリケーション が 潜在的 に 影響 を 受けます。

修正バージョンと回避策

  • 修正バージョン: Chrome on Android 146.0.7680.71 以降 へ の アップデート
  • WebView の 更新: Google Play ストア から 「Android System WebView」を 最新版 に 更新 する
  • 更新方法: Google Play ストア → マイアプリ → Chrome および Android System WebView を 更新
  • 暫定回避策: 信頼 できない リンク を 開かない。不審 な アプリ 内 の WebView コンテンツ に 注意 する
  • 開発者向け対策: アプリ で WebView を 使用 して いる 場合、setJavaScriptEnabled(false) の 設定 を 検討 する(ただし 機能 が 制限 される)。WebView の バージョン が 最新 で ある こと を ユーザー に 促す UI を 検討 する
  • 組織向け対策: MDM(モバイル デバイス 管理)ツール を 用いて 管理 端末 の Chrome および WebView の バージョン を 監視・強制 アップデート する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-3909Chrome Skia 境界外書き込みCVSS 8.8CVE-2026-3910Chrome V8 コード実行CVSS 8.8

参考リンク

Chrome Releases Blog:https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_10.html
Chromium Issue:https://issues.chromium.org/issues/481920229
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-3936
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。