概要
Google Chrome の PrivateAI 機能 に Use-After-Free 脆弱性 が 存在 します。攻撃者 が ユーザー に 特定 の UI 操作 を 行わせる こと で、サンドボックス エスケープ に つながる 可能性 が あります。Chromium の セキュリティ 深刻度 は Medium と 評価 されて います が、NVD の CVSS スコア は 9.6 と 高く、影響 を 受ける ユーザー 数 を 考慮 する と 早め の 更新 が 推奨 されます。
Use-After-Free は メモリ 解放 後 の ポインタ を 参照 する こと で 発生 する 脆弱性 で、攻撃者 が 解放 された メモリ 領域 を 制御 する こと で 任意 コード 実行 に つながる 可能性 が あります。今回 の ケース で は サンドボックス エスケープ に よって Chrome の プロセス 分離 を 突破 される リスク が あります。
影響 の 範囲
Google Chrome は 世界 で 最も 利用 されて いる Web ブラウザ であり、デスクトップ、モバイル 含め 数十億 の ユーザー が 影響 対象 と なります。ただし 攻撃 に は ユーザー に 特定 の UI 操作(ジェスチャー)を 行わせる 必要 が ある ため、自動的 に 悪用 される リスク は 限定的 です。Chromium ベース の ブラウザ(Microsoft Edge、Brave、Vivaldi 等)も 同様 に 影響 を 受ける 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.6(Critical) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 必要(特定 の UI 操作) |
| CWE | CWE-416(Use After Free) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Google Chrome | < 147.0.7727.55 |
修正 バージョン と 回避策
- 修正: Chrome 147.0.7727.55
- 回避策: Chrome の 自動 更新 を 有効 に し、最新 バージョン に 更新 する。組織 管理 の 場合 は グループ ポリシー で 更新 を 展開 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。