Google Chrome、Ozoneの2件のCritical脆弱性を含む15件を修正-7月8日更新からわずか6日で追加パッチ(CVE-2026-15764、CVE-2026-15765)

セキュリティニュース

投稿日時: 更新日時:

Google Chrome、Ozoneの2件のCritical脆弱性を含む15件を修正-7月8日更新からわずか6日で追加パッチ(CVE-2026-15764、CVE-2026-15765)

Googleは2026年7月14日、デスクトップ向けGoogle Chromeの安定版(Stable channel)をWindows・Mac向けバージョン150.0.7871.124/.125、Linux向けバージョン150.0.7871.124へ更新しました。今回のリリースには15件のセキュリティ修正が含まれており、うち2件は最高深刻度のCriticalに分類されています。当サイトで先日報じた7月8日の追加セキュリティ修正版から、わずか6日後の更新です。

サマリー

  • Googleは2026年7月14日、Chrome安定版をバージョン150.0.7871.124/.125(Windows・Mac)、150.0.7871.124(Linux)へ更新し、15件のセキュリティ修正を行った
  • 最も深刻度が高いのは、いずれもCriticalに分類された2件のUse-After-Free(解放後メモリ使用)脆弱性で、CVE-2026-15764とCVE-2026-15765はともにグラフィックス関連の抽象化レイヤーであるOzoneコンポーネントに存在する。いずれもGoogle自身が2026年5月下旬に発見しており、外部報告ではないため報奨金は発生していない(表記はN/A)
  • High(高)に分類された12件は、Skia・libyuv・HTML-in-Canvas・Linux Toolkit Theming・V8(JavaScriptエンジン)・Media・GPU・Core・UIといった、ブラウザの中核から周辺機能まで幅広いコンポーネントに分布している
  • V8(JavaScriptエンジン)には3件(CVE-2026-15770、CVE-2026-15775、CVE-2026-15776)の脆弱性が確認されており、うち2件は外部研究者からの報告で、報奨金は調整中(TBD)とされている
  • 外部研究者からの報告としては、MicrosoftのXinchao Tian氏によるCore(コア機能)のUse-After-Free(CVE-2026-15773)、そしてSalvatore Gulizia氏(ニックネームSerotav)によるV8の型混同(Type Confusion、CVE-2026-15776)が含まれる
  • Medium(中)に分類されたのは1件で、Navigation(ナビゲーション機能)における信頼できない入力の検証不足(CVE-2026-15778)
  • 本稿執筆時点で、これら15件のいずれについても実際の悪用(in-the-wild exploitation)の報告は確認されていない
深刻度 件数 主なコンポーネント
Critical 2件 Ozone(グラフィックス抽象化レイヤー)、いずれもUse-After-Free
High 12件 Skia、libyuv、HTML-in-Canvas、Linux Toolkit Theming、V8、Media、GPU、Core、UI
Medium 1件 Navigation
合計 15件
項目 内容
更新日 2026年7月14日
更新後バージョン Windows/Mac:150.0.7871.124/.125、Linux:150.0.7871.124
前回更新からの間隔 7月8日更新版(150.0.7871.114/.115)からわずか6日
Critical脆弱性 CVE-2026-15764、CVE-2026-15765(いずれもOzoneのUAF)
外部研究者による報告 3件(Microsoft所属研究者、V8研究者2名)
悪用の有無 本稿執筆時点で確認なし

何が起きたか

今回のアップデートで最も重要度が高いのは、Criticalに分類された2件の脆弱性です。1件目のCVE-2026-15764は、2026年5月27日にGoogle自身によって発見された、Ozoneコンポーネントにおけるuse-After-Free(解放後メモリ使用)の脆弱性です。2件目のCVE-2026-15765も同じくOzoneコンポーネントに存在するUse-After-Freeで、2日後の5月29日にこちらもGoogleが発見しています。Ozoneは、Linux環境をはじめとする複数のウィンドウシステム(ディスプレイサーバー)に対応するための、Chromeのグラフィックス抽象化レイヤーです。いずれも外部研究者からの報告ではなく社内発見のため、報奨金の支払いは発生していません。

Highに分類された12件の脆弱性は、Skia(描画エンジン)における未初期化メモリの使用、libyuvにおけるヒープバッファオーバーフロー、HTML-in-Canvasにおけるポリシー適用の不備、Linux Toolkit Themingにおける信頼できない入力の検証不足、V8(JavaScriptエンジン)における未初期化メモリの使用、Mediaにおける信頼できない入力の検証不足、GPUにおけるUse-After-Free、Skiaにおける別のUse-After-Free、V8におけるポリシー適用の不備、V8における型混同(Type Confusion)、UIにおけるUse-After-Freeと、ブラウザのほぼ全域にまたがるコンポーネントに分布しています。Medium評価の1件は、Navigation(ナビゲーション機能)における信頼できない入力の検証不足で、2026年5月16日にGoogleが発見しています。

外部研究者による報告

今回の15件のうち、外部の研究者から報告されたものは3件確認されています。1件目は、MicrosoftのXinchao Tian氏が2026年6月25日に報告した、Core(コア機能)におけるUse-After-Free(CVE-2026-15773)です。2件目は、[email protected]というメールアドレスで報告された、V8におけるポリシー適用の不備(CVE-2026-15775、2026年7月5日報告)です。3件目は、ニックネーム「Serotav」ことSalvatore Gulizia氏が2026年7月8日に報告した、V8における型混同の脆弱性(CVE-2026-15776)です。これら3件はいずれも報奨金の支払いが調整中(TBD)とされています。V8関連の脆弱性が3件中2件を外部研究者からの報告が占めている点は、JavaScriptエンジンという攻撃チェーンの起点になりやすいコンポーネントへの研究者の関心の高さを示しています。

Ozoneコンポーネントを巡る脆弱性の連続

当サイトで既報の通り、直前の7月8日の更新(150.0.7871.114/.115、27件の脆弱性を修正)でも、Criticalに分類された2件のうち1件(CVE-2026-15112)がOzoneコンポーネントのUse-After-Freeであり、5月29日にGoogleが発見していました。今回さらに、同じOzoneコンポーネントで2件の新たなCritical脆弱性(CVE-2026-15764、CVE-2026-15765)が短期間のうちに修正されたことになります。同一のグラフィックス抽象化レイヤーで複数のUse-After-Free脆弱性が連続して発見・修正されている状況は、この領域が引き続きメモリ安全性の観点から精査対象になっていることを示しています。

情報システム部門への示唆

自組織でGoogle Chromeを利用している場合、バージョンが150.0.7871.124/.125(Windows・Mac)または150.0.7871.124(Linux)以降になっているかを確認してください。今回のリリースには実際の悪用が報告されている脆弱性は含まれていませんが、Criticalに分類されたUse-After-Free脆弱性は、パッチ公開後に攻撃者によるリバースエンジニアリングを通じて悪用コードが生成されるリスクが常に存在します。Chromeは通常バックグラウンドで自動更新されますが、更新の適用には再起動が必要な場合があり、再起動されないまま旧バージョンのプロセスが稼働し続けるケースも見られます。企業環境では、Google管理コンソール(Workspace)やMDM・グループポリシーを通じて、社内端末の更新状況とバージョン準拠を定期的に確認し、必要に応じて再起動を促す仕組み(RelaunchNotification等)を活用することをお勧めします。7月8日・14日と短期間で連続してセキュリティ更新が公開されている状況を踏まえ、Chromeの更新を通常のメンテナンスサイクルの中で後回しにせず、都度速やかに反映する運用を徹底することが重要です。

出典