CVE-2026-11645: 野生で悪用されているChromeゼロデイ脆弱性

Googleは、緊急のChrome更新をリリースして、 Chromeのゼロデイ脆弱性に対処しました。これは、高深刻度の V8 JavaScriptエンジンにおける範囲外読み書きの問題です。Googleは、野生でエクスプロイトが存在すると述べており、修正された安定版が WindowsとMac向けに149.0.7827.102.103として、 and Linux向けに149.0.7827.102としてリリースされています。.

公的報告によると、この欠陥は特別に作成されたHTMLページを通じてトリガーされ、リモート攻撃者がブラウザのサンドボックス内で任意のコードを実行できる可能性があります。SecurityWeekは、このバグが 2026年に利用された5番目のChromeゼロデイであり、CVE-2026-2441、CVE-2026-3909、CVE-2026-3910、CVE-2026-5281に続くものであると報告しています。

最も重要な CVE-2026-11645に関する詳細は まだ制限されています。なぜなら、Googleが更新が行き渡るまでバグの詳細を制限しているからです。同社は、この脆弱性が2026年4月下旬に匿名の研究者によって報告され、SecurityWeekはその研究者が 55,000ドル の報酬を受け取ったと報告しています。

CVE-2026-11645の分析では、

For CVE-2026-11645の分析では、確認された公的な説明は狭い範囲に留まっています。Googleはこの問題を 「V8における範囲外メモリアクセス」とリストしており、 BleepingComputerおよびSecurityWeekはこれを範囲外の読み書き欠陥として説明しています。実際には、これは悪意のあるWebコンテンツがエンジンを想定されたメモリ境界を超えさせることができ、機密データを露出させたりブラウザをクラッシュさせたり、サンドボックス内でのコード実行の経路を作成する可能性があります。

露出の観点からは、 CVE-2026-11645は、 パッチが適用された149リリースにまだ移行していないChromeデスクトップユーザーに影響を与えます。BleepingComputerは、成功したエクスプロイトがヒープの破損や意図されたメモリバッファを超えた無許可のアクセスにつながる可能性があり、この欠陥がASLRなどの保護を回避するのを助ける可能性があり、別の脆弱性を武器化しやすくする可能性があると述べています。

執筆時点では、公開された CVE-2026-11645のPoC は引用された情報源に存在せず、Googleは技術的なエクスプロイトの詳細や被害情報を開示していません。SecurityWeekは、攻撃に関する情報はないが、ゼロデイは現実の運用でサンドボックスエスケープの欠陥と組み合わされている可能性が高いと述べています。

検出を探る

CVE-2026-11645の緩和策

即座に行うべき CVE-2026-11645の緩和策は、 Chromeを2026年6月8日にGoogleがリリースした修正済みの安定バージョンに更新することです。手動で更新しないユーザーは、次回のブラウザ再起動時に自動的に修正を受け取りますが、Googleによれば完全にすべてのユーザーに到達するには数日から数週間かかる場合があります。

防御者にとって、 検出は of CVE-2026-11645は、 Googleが意図的により深い技術情報を保持しているため、制約されています。また、公開された IOCsを利用したエクスプロイトに関連する情報は CVE-2026-11645は、 引用された報告には存在しません。実際には、チームは CVE-2026-11645の露出を検出し、 管理されていないまたは更新されていないChromeインストールを特定し、高リスクのユーザーグループを優先し、企業フリートが修正済みの149ビルドに到達していることを確認すべきです。