Google、Chrome へ緊急アップデート、CSSのUse-after-freeの脆弱性を修正(CVE-2026-2441)既に悪用確認

セキュリティニュース

投稿日時: 更新日時:

Google、Chrome へ緊急アップデート、CSSのUse-after-freeの脆弱性を修正(CVE-2026-2441)既に悪用確認

Googleは2026年2月13日(米国時間)、デスクトップ向けGoogle ChromeのStable(安定版)を更新し、セキュリティ修正1件を含む新バージョンの提供を開始しました。Windows/macOS向けは145.0.7632.75/76、Linux向けは144.0.7559.75です。


修正対象はCVE-2026-2441で、Googleは本脆弱性既に実環境で悪用されていることを認識していると明記しています。

概要

CVE-2026-2441は、ChromeのCSS処理におけるUse-after-free(解放済みメモリの参照)に分類されるメモリ安全性の欠陥です。影響を受けるのはChrome 145.0.7632.75未満で、細工されたHTMLページにより、サンドボックス内で任意コード実行につながる可能性があると説明されています(Chromiumの深刻度はHigh)。
本件はゼロデイ(既に悪用が確認されている)として扱うのが現実的で、更新の優先度は高いと判断できます。

原因

原因は、CSSコンポーネントにおけるUse-after-free(CWE-416)です。メモリ管理の不整合により、解放済み領域を参照してしまい、攻撃者の入力(HTML/CSS)によって不正な状態遷移を誘発されると、意図しないコード実行などに至る可能性があります。
脆弱性の詳細や再現手順は、パッチ普及まで制限される場合がある点もGoogleから案内されています。

影響

  • 対象:Google Chrome(デスクトップ)145.0.7632.75未満(Windows/macOS)

  • 想定される影響:細工されたHTMLページの閲覧を起点に、サンドボックス内で任意コード実行の可能性(High)

サンドボックス内のコード実行は、直ちにOS全体の乗っ取りを意味しませんが、別の脆弱性と組み合わされることで被害が拡大するケースもあり、企業端末では特に早期更新が求められます。