Googleは2026年7月8日、デスクトップ向けGoogle Chromeの安定版(Stable channel)をWindows・Mac向けバージョン150.0.7871.114/.115、Linux向けバージョン150.0.7871.114へ更新しました。今回のリリースには27件のセキュリティ修正が含まれており、うち2件は最高深刻度のCriticalに分類されています。
当サイトでも先日、Chrome 150の初回リリースで382件の脆弱性が修正されたことを受けたMicrosoft Edgeの追随アップデートを取り上げましたが、今回はその初回リリースからわずか6日後に公開された、追加のセキュリティ修正版にあたります。
サマリー
- Googleは2026年7月8日、Chrome安定版をバージョン150.0.7871.114/.115(Windows・Mac)、150.0.7871.114(Linux)へ更新し、27件のセキュリティ修正を行った
- 最高深刻度のCriticalは2件で、いずれもUse-After-Free(解放後メモリ使用)の脆弱性。CVE-2026-15112はOzone(グラフィックス抽象化レイヤー)、CVE-2026-15129はViews(UI描画フレームワーク)に存在する
- 2件のCriticalはいずれもGoogle自身が発見しており、外部研究者への報奨金支払いはない
- High(高)評価は17件にのぼり、V8・InterestGroups・Extensions API・ANGLE・Extensions・Autofill・Codecs・WebAppInstalls・Actor・Payments・Input・GetUserMedia・Core・WebRTC・DOM・Passwords・Forms・WebGL・Navigationと、ブラウザの幅広い機能に分布している
- Medium(中)評価は2件で、うち1件のCVE-2026-15107(IndexedDBのUse-After-Free)はAnt Group Tianqiong Security Labの研究者が報告し2,000ドルの報奨金が支払われた
- 本稿執筆時点で、今回修正された27件のいずれについても実際の悪用(in-the-wild exploitation)は報告されていない
| 項目 | 内容 |
|---|---|
| 公開日 | 2026年7月8日 |
| 更新後バージョン | 150.0.7871.114/.115(Windows・Mac)、150.0.7871.114(Linux) |
| 修正件数 | 27件 |
| 最高深刻度(Critical) | 2件(いずれもUse-After-Free、Google社内発見) |
| High(高) | 17件 |
| Medium(中) | 2件 |
| 外部研究者への最高報奨金 | 2,000ドル(CVE-2026-15107、IndexedDBのUAF) |
| 実悪用の有無 | 本稿執筆時点で確認されていない |
何が起きたか
今回の更新は、Googleが2026年6月30日に公開したChrome 150の初回リリース(382件の修正を含む大型アップデート)から、わずか6日後に公開された追加のセキュリティポイントリリースです。バージョン番号はビルド150.0.7871.101から150.0.7871.115へと更新されており、この間に発見・修正された27件のセキュリティ上の問題が今回のリリースに含まれています。
最も重要度が高いのは、最高深刻度のCriticalに分類された2件です。1件目のCVE-2026-15112は、グラフィックス関連の抽象化レイヤーであるOzoneコンポーネントに存在するUse-After-Free(解放後メモリ使用)の脆弱性で、2026年5月29日にGoogle自身によって発見されました。2件目のCVE-2026-15129は、ブラウザのUI描画を担うViewsコンポーネントに存在する同種の脆弱性で、2026年6月15日にこちらもGoogle自身が発見しています。いずれも外部研究者からの報告ではなく社内発見のため、報奨金の支払いは発生していません(表記はN/A)。
多数を占めるUse-After-Free脆弱性が示す傾向
Highに分類された17件の脆弱性は、V8(JavaScriptエンジン)・InterestGroups・Extensions API・ANGLE(グラフィックス変換レイヤー)・Extensions・Autofill・Codecs・WebAppInstalls・Actor・Payments・Input・GetUserMedia(カメラ・マイク機能)・Core・WebRTC・DOM・Passwords・Forms・WebGL・Navigationと、ブラウザのほぼ全域にまたがるコンポーネントに分布しています。このうち大半がUse-After-Freeか、信頼できない入力の検証不足に起因するもので、当サイトで既報のChrome 150初回リリースやその前後の月次アップデートでも繰り返し指摘してきた傾向がそのまま続いています。
Medium評価の2件のうち、CVE-2026-15107はIndexedDB(ブラウザ内のデータベース機能)に存在するUse-After-Freeで、Ant Group傘下のTianqiong Security Labの研究者zh1x1an1221氏が2026年4月17日に報告し、2,000ドルの報奨金が支払われています。もう1件のCVE-2026-15131はNavigation機能におけるデータ検証の不足で、こちらはGoogleの社内発見です。Googleはリリースノートの中で、AddressSanitizer・MemorySanitizer・UndefinedBehaviorSanitizer・Control Flow Integrity・libFuzzer・AFLといった、メモリ安全性の検証やファジングのためのツール群を活用してこれらの脆弱性の多くを発見していると説明しており、社内の脆弱性発見プロセスが継続的に機能していることがうかがえます。
情報システム部門への示唆
自組織でGoogle Chromeを利用している場合、バージョンが150.0.7871.114/.115(Windows・Mac)または150.0.7871.114(Linux)以降になっているかを確認してください。Chromeは通常バックグラウンドで自動更新されますが、企業環境では即時反映されないケースもあるため、Google管理コンソール(Workspace)やMDM・グループポリシーを通じて、社内端末の更新状況を確認することをお勧めします。
本稿執筆時点で今回の27件について実際の悪用は確認されていませんが、当サイトで以前紹介したCVE-2026-11645のように、Google自身が実悪用を認めるゼロデイ脆弱性がChromeでは2026年に入ってから複数回確認されていることを踏まえると、詳細情報が広く行き渡る前に更新を完了させておくことが望ましい対応です。特にCriticalに分類されたOzoneやViewsのUse-After-Freeは、細工されたコンテンツの閲覧を起点に任意コード実行やサンドボックス脱出の足がかりになりうるクラスの脆弱性であるため、企業端末においても優先度を上げて対応することをお勧めします。








