1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Google、Chrome 147で31件の脆弱性を修正、Criticalは5件(CVE-2026-6296、CVE-2026-6297、CVE-2026-6298、CVE-2026-6299、CVE-2026-6358を)

Google、Chrome 147で31件の脆弱性を修正、Criticalは5件(CVE-2026-6296、CVE-2026-6297、CVE-2026-6298、CVE-2026-6299、CVE-2026-6358を)

セキュリティニュース

投稿日時: 更新日時:

Google、Chrome 147で31件の脆弱性を修正、Criticalは5件(CVE-2026-6296、CVE-2026-6297、CVE-2026-6298、CVE-2026-6299、CVE-2026-6358を)

Googleは2026年4月15日、Chrome 147の安定版更新を公開し、Desktop向けに31件の脆弱性を修正しました。このうちCriticalは5件で、CVE-2026-6296、CVE-2026-6297、CVE-2026-6298、CVE-2026-6299、CVE-2026-6358です。Desktop Stable ChannelはWindowsとMac向けが147.0.7727.101/102、Linux向けが147.0.7727.101へ更新されています。

今回の更新で特に重いのは、5件すべてがメモリ破壊や解放後利用に関わる不具合で、細工したHTMLページを開かせることで、情報漏えいや任意コード実行、場合によってはサンドボックス脱出につながるおそれがある点です。Chromeのようなブラウザでは、こうした不具合は外部サイト閲覧そのものが攻撃面になるため、通常の月例更新より優先度を高く見るべき案件です。

何が起きたか

Googleの公式リリースによると、4月15日のChrome 147更新には31件のセキュリティ修正が含まれています。その中でもCriticalとされたのは、ANGLE、Proxy、Skia、Prerender、XRに関する5件です。いずれも報告日は2026年3月で、Chromeチームが4月の更新にまとめて反映した形です。

今回の5件は単に深刻度が高いだけではありません。NVDの記載では、CVE-2026-6296はANGLEのheap buffer overflowで、細工したHTMLページによりサンドボックス脱出のおそれがあります。CVE-2026-6297はProxyのuse after freeで、特権的なネットワーク位置にいる攻撃者が、細工したHTMLページを通じてサンドボックス脱出を狙えるとされています。CVE-2026-6298はSkiaのheap buffer overflowで、プロセスメモリから機微情報を取得される可能性があります。CVE-2026-6299はPrerenderのuse after freeで、細工したHTMLページを通じて任意コード実行のおそれがあります。CVE-2026-6358はXRのuse after freeで、Android版Chromeに対してメモリの範囲外読み取りを起こせる問題です。

注目度が高い脆弱性

5件の中で最も実務上のインパクトが大きいのは、CVE-2026-6296とCVE-2026-6299です。CVE-2026-6296はANGLEのheap buffer overflowで、NVDは細工したHTMLページを通じてサンドボックス脱出の可能性があると記載しています。ブラウザ攻撃では、レンダラ側の不具合だけで終わるより、サンドボックス境界を越えられる可能性がある方が重く、端末侵害の現実性が一段上がります。

CVE-2026-6299はPrerenderのuse after freeで、NVD上は任意コード実行につながる問題です。つまり、ユーザーが細工されたHTMLページを開くだけで、ブラウザプロセス上で攻撃者のコード実行につながるおそれがあります。ブラウザの脆弱性としてはかなり典型的かつ危険な部類です。

CVE-2026-6297も見落とせません。Proxyのuse after freeで、NVDは特権的なネットワーク位置にいる攻撃者が悪用できると説明しています。無差別インターネット攻撃というより、同一ネットワーク上や中間者に近い条件を持つ攻撃者が狙うタイプですが、企業内ネットワークや公衆Wi-Fi、検閲型ネットワークなどを考えると、条件付きでも軽視しにくい脆弱性です。

CVE-2026-6298はSkiaのheap buffer overflowで、NVDでは主な影響をプロセスメモリからの機微情報取得としています。任意コード実行より一見軽く見えますが、ブラウザ内部メモリに残るCookie、トークン、ページ情報などの露出につながる可能性があるため、認証情報や閲覧内容の保護という観点では十分に重い問題です。

CVE-2026-6358はXRのuse after freeで、NVDではAndroid版Chromeに対する範囲外メモリ読み取りとされています。Desktop利用者に直結するものではありませんが、Android版も同じ4月15日リリースで対応しており、モバイル端末を業務利用している環境では無視できません。

関連記事

MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表MITRE、2025年版 最も危険なソフトウェア 脆弱性トップ25を公表 Google、Chromeの高深刻度 脆弱性 8件を修正(CVE-2026-4673〜4680)Google、Chromeの高深刻度 脆弱性 8件を修正(CVE-2026-4673〜4680) Google、Chrome 145のデスクトップ向け安定版で3件の重大な脆弱性を修正(CVE-2026-2313,CVE-2026-2314,CVE-2026-2315)Google、Chrome 145のデスクトップ向け安定版で3件の重大な脆弱性を修正(CVE-2026-2313,CVE-2026-2314,CVE-2026-2315) Pixel 9のゼロクリック型サイバー攻撃をProject Zeroが実証 音声添付の自動解析が新たな攻撃面にPixel 9のゼロクリック型サイバー攻撃をProject Zeroが実証 音声添付の自動解析が新たな攻撃面に Google、Chrome緊急アップデート公開 2件の高深刻度脆弱性を修正、いずれも既に悪用を確認(CVE-2026-3909,CVE-2026-3910)Google、Chrome 緊急 アップデート公開 2件の高深刻度 脆弱性を修正、いずれも既に悪用を確認(CVE-2026-3909,CVE-2026-3910) PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003)PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003) Google、Chromeの致命的な脆弱性3件を含む脆弱性 10件を修正(CVE-2026-3536,CVE-2026-3537,CVE-2026-3538)Google、Chromeの致命的な脆弱性3件を含む脆弱性 10件を修正(CVE-2026-3536,CVE-2026-3537,CVE-2026-3538) Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中Fortinetのゼロデイ脆弱性(CVE-2025-32756)のPoCが公開-実環境でサイバー攻撃への悪用が進行中 ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)