Google、Chromeの致命的な脆弱性3件を含む脆弱性 10件を修正(CVE-2026-3536,CVE-2026-3537,CVE-2026-3538)

セキュリティニュース

投稿日時: 更新日時:

Google、Chromeの致命的な脆弱性3件を含む脆弱性 10件を修正(CVE-2026-3536,CVE-2026-3537,CVE-2026-3538)

Googleは2026年3月3日(現地時間)、デスクトップ版ChromeのStableチャネルを更新し、Windows/macOS向けに145.0.7632.159/160、Linux向けに145.0.7632.159を段階展開すると発表しました。本更新には脆弱性修正が10件含まれ、Criticalが3件、Highが7件です。

修正された脆弱性の要点

Critical(3件)

  • CVE-2026-3536:ANGLEの整数オーバーフロー。細工したHTMLページにより、領域外メモリアクセスに至る可能性。

  • CVE-2026-3537:PowerVRのオブジェクトライフサイクル不備。細工したHTMLページにより、ヒープ破壊に至る可能性(NVDではAndroid向けChromeに言及)。

  • CVE-2026-3538:Skiaの整数オーバーフロー。細工したHTMLページにより、領域外メモリアクセスに至る可能性。

High(7件)

  • CVE-2026-3539:DevToolsのオブジェクトライフサイクル不備。悪性拡張機能のインストールを誘導された場合に悪用され得る。

  • CVE-2026-3540:WebAudioの実装不備。細工したHTMLページにより領域外メモリアクセスの可能性。

  • CVE-2026-3541:CSSの実装不備。細工したHTMLページにより領域外メモリ読み取りの可能性。

  • CVE-2026-3542:WebAssemblyの実装不備。細工したHTMLページにより領域外メモリアクセスの可能性。

  • CVE-2026-3543:V8の実装不備。細工したHTMLページにより領域外メモリアクセスの可能性。

  • CVE-2026-3544:WebCodecsのヒープバッファオーバーフロー。細工したHTMLページにより領域外書き込みの可能性。

  • CVE-2026-3545:Navigationの検証不備。細工したHTMLページによりサンドボックス回避(sandbox escape)の可能性。

原因の整理

今回の修正の中心は、整数オーバーフローやオブジェクトライフサイクル不備、ヒープバッファオーバーフローといったメモリ安全性に関わる不具合です。これらは「Webページを開く」という通常操作を入口に、領域外アクセス・ヒープ破壊へつながり得ます。加えてCVE-2026-3545はサンドボックス回避の可能性が明記されており、単体でも優先度を上げるべき性質です。

情シス部門が取るべき対応

 端末群のバージョン可視化と更新の前倒し

段階展開は数日〜数週間を要する前提のため、放置すると組織内に旧版が残り続けます。管理下端末は、配布の遅れを前提にバージョン準拠(Windows/macOSは145.0.7632.159/160以上、Linuxは145.0.7632.159以上)を基準化し、更新を前倒ししてください。

更新適用には再起動が必要 再起動通知を運用で担保する

Chromeは更新が入っても、再起動されない限り旧プロセスが残るケースが典型です。企業管理では、RelaunchNotificationなどで再起動を促す設計が有効です。