Google は 2026 年 5 月 12 日(現地時間)、デスクトップ版(Windows / Mac / Linux)の Chrome ブラウザに向けて、深刻度「Critical」の 14 件を含む合計 79 件の脆弱性を修正した Chrome 148 の最新マイナーアップデートをリリースしました。
今回のアップデートにより、Windows と Mac 向けにはバージョン 148.0.7778.167 / .168 が、Linux 向けには 148.0.7778.167 が配信されます。アップデートは、今後数日から数週間にかけて順次展開される予定です。
目次
セキュリティ修正の内容
今回のアップデートでは、合計 79 件の脆弱性が修正されており、Google の基準で最も高い深刻度である「Critical(致命的)」に分類される脆弱性が 14 件含まれています。
公表された「Critical」な脆弱性は以下の通りです。
- [Critical] CVE-2026-8509 : WebML におけるヒープバッファオーバーフロー(Heap buffer overflow)
- [Critical] CVE-2026-8510 : Skia における整数オーバーフロー(Integer overflow)
- [Critical] CVE-2026-8511 : UI における解放後使用(Use after free)
- [Critical] CVE-2026-8512 : FileSystem における解放後使用(Use after free)
- [Critical] CVE-2026-8513 : Input における解放後使用(Use after free)
- [Critical] CVE-2026-8514 : Aura における解放後使用(Use after free)
- [Critical] CVE-2026-8515 : HID における解放後使用(Use after free)
- [Critical] CVE-2026-8516 : DataTransfer における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- [Critical] CVE-2026-8517 : WebShare におけるオブジェクトライフサイクルの問題(Object lifecycle issue)
- [Critical] CVE-2026-8518 : Blink における解放後使用(Use after free)
- [Critical] CVE-2026-8519 : ANGLE における整数オーバーフロー(Integer overflow)
- [Critical] CVE-2026-8520 : Payments における競合状態(Race)
- [Critical] CVE-2026-8521 : Tab Groups における解放後使用(Use after free)
- [Critical] CVE-2026-8522 : Downloads における解放後使用(Use after free)
現時点で悪用が確認されているとの記述はありませんが、これらはメモリの不正な操作やプログラムの予期せぬ動作を引き起こす可能性があるものです。
また、これら以外にも Mojo、WebAudio、WebRTC、Fonts、Accessibility といった広範囲のコンポーネントを対象とした、深刻度「High(高)」の脆弱性が 37 件、深刻度「Medium(中)」の脆弱性が 28 件修正されています。
以下は修正された脆弱性の一覧です。
深刻度: High (高)
- CVE-2026-8523 : Mojo における解放後使用(Use after free)
- CVE-2026-8558 : Fonts における境界外書き込み(Out of bounds write)
- CVE-2026-8524 : WebAudio における境界外書き込み(Out of bounds write)
- CVE-2026-8525 : ANGLE におけるヒープバッファオーバーフロー(Heap buffer overflow)
- CVE-2026-8526 : WebRTC における境界外書き込み(Out of bounds write)
- CVE-2026-8527 : Downloads における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- CVE-2026-8528 : SiteIsolation における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- CVE-2026-8529 : Codecs におけるヒープバッファオーバーフロー(Heap buffer overflow)
- CVE-2026-8530 : Network における解放後使用(Use after free)
- CVE-2026-8531 : WebML におけるヒープバッファオーバーフロー(Heap buffer overflow)
- CVE-2026-8532 : XML における整数オーバーフロー(Integer overflow)
- CVE-2026-8533 : Accessibility における解放後使用(Use after free)
- CVE-2026-8534 : GPU における整数オーバーフロー(Integer overflow)
- CVE-2026-8535 : Media における境界外読み取り(Out of bounds read)
- CVE-2026-8536 : ReadingMode における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- CVE-2026-8537 : ViewTransitions におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8538 : GPU における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- CVE-2026-8539 : SanitizerAPI におけるスクリプトインジェクション(Script injection)
- CVE-2026-8540 : V8 における型の混同(Type Confusion)
- CVE-2026-8541 : UI における境界外読み取り(Out of bounds read)
- CVE-2026-8542 : Core における解放後使用(Use after free)
- CVE-2026-8543 : FileSystem における境界外読み取り(Out of bounds read)
- CVE-2026-8544 : Media における解放後使用(Use after free)
- CVE-2026-8545 : Compositing におけるオブジェクト破損(Object corruption)
- CVE-2026-8546 : GPU における境界外読み取り(Out of bounds read)
- CVE-2026-8547 : Passwords におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8548 : Media における境界外書き込み(Out of bounds write)
- CVE-2026-8549 : Media における解放後使用(Use after free)
- CVE-2026-8550 : Google Lens における解放後使用(Use after free)
- CVE-2026-8551 : Downloads における解放後使用(Use after free)
- CVE-2026-8552 : GPU におけるヒープバッファオーバーフロー(Heap buffer overflow)
- CVE-2026-8553 : GPU における解放後使用(Use after free)
- CVE-2026-8554 : ANGLE における型の混同(Type Confusion)
- CVE-2026-8555 : GTK における解放後使用(Use after free)
- CVE-2026-8556 : ANGLE における不適切な実装(Inappropriate implementation)
- CVE-2026-8557 : Accessibility における解放後使用(Use after free)
- CVE-2026-8559 : Internationalization における整数オーバーフロー(Integer overflow)
深刻度: Medium (中)
- CVE-2026-8560 : SwiftShader におけるヒープバッファオーバーフロー(Heap buffer overflow)
- CVE-2026-8561 : Fullscreen における不正なセキュリティ UI(Incorrect security UI)
- CVE-2026-8562 : Navigation におけるサイドチャネル情報漏洩(Side-channel information leakage)
- CVE-2026-8563 : IFrame Sandbox におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8564 : Downloads における不正なセキュリティ UI(Incorrect security UI)
- CVE-2026-8565 : Downloads における不適切な実装(Inappropriate implementation)
- CVE-2026-8566 : Payments におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8567 : ANGLE における整数オーバーフロー(Integer overflow)
- CVE-2026-8568 : AI におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8569 : Codecs における境界外書き込み(Out of bounds write)
- CVE-2026-8570 : V8 における型の混同(Type Confusion)
- CVE-2026-8571 : GPU におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8572 : Network におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8573 : Codecs における整数オーバーフロー(Integer overflow)
- CVE-2026-8574 : Core における解放後使用(Use after free)
- CVE-2026-8575 : UI における解放後使用(Use after free)
- CVE-2026-8576 : CORS における不適切な実装(Inappropriate implementation)
- CVE-2026-8577 : Fonts における整数オーバーフロー(Integer overflow)
- CVE-2026-8578 : GPU における境界外読み取り(Out of bounds read)
- CVE-2026-8579 : Skia における信頼されていない入力の検証不足(Insufficient validation of untrusted input)
- CVE-2026-8580 : Mojo における解放後使用(Use after free)
- CVE-2026-8581 : GPU における解放後使用(Use after free)
- CVE-2026-8582 : Dawn におけるオブジェクトライフサイクルの問題(Object lifecycle issue)
- CVE-2026-8583 : WebXR におけるポリシー適用不足(Insufficient policy enforcement)
- CVE-2026-8584 : Views における不適切な実装(Inappropriate implementation)
- CVE-2026-8585 : Media における不適切な実装(Inappropriate implementation)
- CVE-2026-8586 : Chromoting における不適切な実装(Inappropriate implementation)
- CVE-2026-8587 : Extensions における解放後使用(Use after free)
影響範囲が広く修正対象も多岐にわたるため、安全のために早めの適用が推奨されます。なお、Google はユーザーの多くが修正版に更新するまで、脆弱性の詳細な技術情報の公開を制限する方針をとっています。
手動によるアップデート手順
デスクトップ版 Chrome ブラウザのアップデートは通常、バックグラウンドで自動的に処理されますが、深刻度の高い修正が多数実施されているため、手動で最新の状態になっているか確認することをおすすめします。
- Chrome ブラウザ右上の [︙] メニューをクリック
- [ヘルプ] > [Google Chrome について] を選択
- 自動的にアップデートの確認とダウンロードが開始
- ダウンロード完了後、[再起動] ボタンをクリックして更新を適用
Windows や Mac で上記の手順を進めることで、最新バージョンへの更新が完了します。
Chromebook など ChromeOS デバイスに対する同様のセキュリティ修正についても、今後順次展開される予定です。
Advertisement
