Google、Chromeの脆弱性 33件を修正(CVE-2026-12437,CVE-2026-12443)他|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月18日更新日時: 2026年06月18日

Googleが2026年6月16日、Chrome安定版を149.0.7827.155/.156に更新し33件の脆弱性を修正。Critical評価は7件全てがUse-After-Free。WebShare・Digital Credentials・File Input・パスワード・Web Authentication機能が対象。現時点で悪用報告はなし。CVE一覧と対応手順を解説。

Googleは2026年6月16日（火）、Chrome公式リリースブログで、Google Chromeの安定版（Stable channel）をWindows・Mac向け149.0.7827.155/.156、Linux向け149.0.7827.155に更新したと発表しました。今回の更新には33件のセキュリティ修正が含まれており、そのうち外部研究者からの報告に基づくものを中心に詳細が公開されています。

特に注目すべきは深刻度「Critical（緊急）」と評価された7件すべてがUse-After-Free（解放済みメモリ使用）という同一種別の脆弱性である点です。対象となった機能はWebShare・WebView・Digital Credentials（2件）・File Input・Passwords・Web Authenticationと多岐にわたります。なお今回の更新は、2026年6月8日に公開された緊急ゼロデイ修正（当サイト既報のCVE-2026-11645）とは別の、通常のスケジュールに基づくセキュリティ更新です。本記事執筆時点で、今回修正された33件のいずれについても積極的な悪用（in-the-wild exploitation）の報告は確認されていません。

本記事ではGoogle公式リリースノートをもとに、修正内容の詳細・対応手順を解説します。

サマリー

更新日：2026年6月16日（火）
更新後のバージョン：Windows・Mac：149.0.7827.155/.156　Linux：149.0.7827.155
修正された脆弱性の総数：33件
Critical（緊急）評価：7件——すべてUse-After-Free（解放済みメモリ使用）：

CVE番号	内容	報告日
CVE-2026-12437	WebShareにおけるUse-After-Free	2026年5月25日（Google内部）
CVE-2026-12438	WebViewにおける不適切な実装	2026年5月27日（Google内部）
CVE-2026-12439	Digital CredentialsにおけるUse-After-Free	2026年6月3日（Google内部）
CVE-2026-12440	DigitalCredentialsにおけるUse-After-Free	2026年6月3日（Google内部）
CVE-2026-12441	File InputにおけるUse-After-Free	2026年6月5日（Google内部）
CVE-2026-12442	PasswordsにおけるUse-After-Free	2026年6月9日（Google内部）
CVE-2026-12443	Web AuthenticationにおけるUse-After-Free	2026年6月11日（Google内部）

High（高）評価：26件以上。Chromoting・Extensions・WebRTC・Media・Downloads・Safe Browsing・Tab Strip・Serial・File System Access等、ブラウザの広範な機能にまたがる
報告者：大半がGoogle内部（社内のセキュリティチームまたは関連の脆弱性調査）。一部は外部研究者（Zhixin Tu氏など）による報告
悪用状況：本記事執筆時点で、今回の33件について積極的な悪用（in-the-wild exploitation）の報告は確認されていない
ロールアウト：今後数日〜数週間かけて段階的に展開予定
関連する別件：2026年6月8日に公開された緊急ゼロデイ修正CVE-2026-11645（V8エンジン、悪用確認済み、報奨金5.5万ドル）とは別件。今回の更新はそれに続く通常のセキュリティパッチ

1 なぜ「Use-After-Free」が7件のCriticalすべてを占めるのか
- 1.1 Use-After-Freeとは
- 1.2 対象となった機能の広がり
2 High評価の脆弱性—26件以上の広範な内容
3 今回の更新と6月8日の緊急ゼロデイ修正との違い
4 対応手順
5 FAQ
6 参考情報

なぜ「Use-After-Free」が7件のCriticalすべてを占めるのか

Use-After-Freeとは

Use-After-Free（UAF、解放済みメモリ使用）は、プログラムが既に解放（free）されたメモリ領域への参照（ポインタ）を使い続けてしまうことで発生する脆弱性です。攻撃者がこの解放済みメモリ領域に悪意あるデータを配置できた場合、プログラムの制御フローを乗っ取り、任意のコードを実行できる可能性があります。

cybersecuritynews.comが指摘する通り、今回の更新でCritical評価された7件はすべてこのUAF系の脆弱性であり、「ブラウザのコンテキスト内でメモリを操作し任意のコードを実行できる可能性がある」とされています。これはChromiumのようなC++ベースの大規模ソフトウェアにおいて、メモリ管理の複雑さから繰り返し発生する典型的な脆弱性パターンです。

対象となった機能の広がり

今回Criticalと評価された7件が影響する機能は、いずれもユーザーの認証・個人情報・ファイル操作に関わる重要な機能群です。

WebShare（CVE-2026-12437）：Webページがネイティブの共有機能を呼び出すためのAPI。Tenableの分析によれば、この脆弱性はサンドボックスエスケープ（ブラウザの保護機構である「サンドボックス」からの脱出）につながる可能性があるとされています。

Digital Credentials（CVE-2026-12439・12440）：デジタル身分証明書・資格情報をWeb上で扱うための比較的新しいAPI。2件のUAFが同時に発見されていることから、この機能の実装に複数の脆弱性が内在していた可能性があります。

Passwords（CVE-2026-12442）：Chromeのパスワード管理機能。攻撃が成功した場合、保存されたパスワード情報への不正アクセスにつながるリスクがあります。

Web Authentication（CVE-2026-12443）：WebAuthn——パスワードレス認証・パスキーに関連する機能。認証機能自体に脆弱性が存在することは、セキュリティ強化のために導入された仕組みが逆に攻撃対象になりうるという点で注目に値します。

File Input（CVE-2026-12441）：ファイル選択・アップロード機能。

WebView（CVE-2026-12438）：Androidアプリ等に組み込まれる埋め込み型ブラウザコンポーネント。

High評価の脆弱性—26件以上の広範な内容

Tenableの分析によれば、High評価の脆弱性はCVE-2026-12444からCVE-2026-12469（一部除く）まで連続して採番されており、以下のような幅広い機能に分布しています。

カテゴリ	件数の傾向	主な脆弱性種別
Extensions（拡張機能）	複数件	Use-After-Free・不十分な入力検証
WebRTC	2件	ヒープバッファオーバーフロー・境界外読み取り
Chromoting（リモートデスクトップ機能）	2件	境界外読み取り・Use-After-Free
Media	2件	不適切な実装・Use-After-Free
Passwords	2件目（Critical以外）	不十分なデータ検証
Safe Browsing	1件	レース条件（Race condition）
Downloads	1件	Use-After-Free
Tab Strip	1件	Use-After-Free
Serial（シリアル通信API）	1件	不適切な実装
File System Access	1件	不十分なポリシー実施
Views（UIフレームワーク）	1件	不適切な実装

今回の更新と6月8日の緊急ゼロデイ修正との違い

今回（6月16日）の更新を理解する上で重要なのは、これが2026年6月8日に公開された緊急のゼロデイ修正とは別件であるという点です。

当サイトが既報した通り、6月8日にはChrome 149.0.7827.102/.103がリリースされ、V8 JavaScriptエンジンの境界外メモリアクセス脆弱性CVE-2026-11645が修正されました。この脆弱性についてはGoogleが「悪用が野生で存在することを確認している」と明言しており、緊急性の高い対応が必要なケースでした。発見者には5.5万ドルの報奨金が支払われています。2026年に確認された悪用済みChromeゼロデイとしては5件目（CVE-2026-2441・CVE-2026-3909・CVE-2026-3910・CVE-2026-5281に続く）とされています。

それに対し、今回（6月16日）の149.0.7827.155/.156へのアップデートは、通常のスケジュールに基づくセキュリティパッチであり、現時点で悪用報告のあるCVEは含まれていません。ただし、Criticalと評価された7件のUAF脆弱性は今後悪用される可能性があるため、速やかなアップデートが推奨されます。

対応手順

① Chromeのバージョン確認

chrome://settings/help

上記URLをChromeのアドレスバーに入力してアクセスし、現在のバージョンを確認してください。バージョンが149.0.7827.155未満（Windows/Linux）または149.0.7827.156未満（Windowsの一部）の場合はアップデートが必要です。

② 手動アップデートの実施

自動アップデートのロールアウトには数日〜数週間かかる場合があるため、手動でのアップデートを推奨します。

Chromeの右上にある「︙」（縦三点リーダー）をクリック
「ヘルプ」→「Google Chromeについて」を選択
自動的に最新版の確認が始まり、利用可能な場合は更新が適用される
「再起動」をクリックして更新を完了

③ Chromiumベースの他ブラウザの確認

Microsoft Edge・Brave・Opera・Vivaldi等のChromiumベースブラウザを使用している場合、各ブラウザ提供元から同様の修正がリリースされているか確認し、利用可能になった時点でアップデートを適用してください。

④ 組織における一括管理

企業・組織でChromeを管理している場合は、Google Workspace管理コンソールやMicrosoft Endpoint Manager等の集中管理ツールを通じて、すべてのエンドポイントへの更新適用状況を確認してください。

FAQ

Q. 今回の脆弱性は悪用されていますか？ A. 本記事執筆時点で、今回修正された33件のいずれについても積極的な悪用（in-the-wild exploitation）の報告は確認されていません。ただし、CriticalのUAF脆弱性は将来的に悪用される可能性があるため、早期のアップデートが推奨されます。

Q. 6月8日に既にChromeを更新しましたが、今回も対応が必要ですか？ A. はい。6月8日の更新（149.0.7827.102/.103）と今回の更新（149.0.7827.155/.156）は別の修正内容を含むため、両方の適用が必要です。最新版にアップデートすることで両方の修正が反映されます。

Q. なぜ脆弱性の詳細情報が一部公開されていないのですか？ A. Googleの方針では、大多数のユーザーが修正版に更新するまで、脆弱性の詳細情報へのアクセスを制限することがあります。これは攻撃者が詳細情報を悪用して未更新のユーザーを攻撃するリスクを減らすための措置です。サードパーティライブラリに起因する脆弱性で、そのライブラリ側が未修正の場合も同様に制限されます。