Chrome 149、悪用確認済みの脆弱性修正を含むセキュリティアップデートが配信 (149.0.7827.102 / .103)

2026年6月9日

当サイトは Google Adsense、Amazon アソシエイト等アフィリエイト広告を利用して収益を得ています.

Google は 2026 年 6 月 8 日（現地時間）、デスクトップ版 Chrome 149 向けに、深刻度「Critical」の 17 件を含む合計 74 件の脆弱性を修正したセキュリティアップデートをリリースしました。

このアップデートに含まれる CVE-2026-11645 については、実際の攻撃への悪用が確認されています

今回のアップデートにより、Windows および Mac 向けにはバージョン 149.0.7827.102 / .103 が、Linux 向けにはバージョン 149.0.7827.102 が配信されます。

セキュリティアップデートの内容

今回のアップデートでは、合計 74 件の脆弱性が修正されており、Google の基準で最も高い深刻度である「Critical（致命的）」に分類される脆弱性が 17 件含まれています。

公表された「Critical」な脆弱性は以下の通りです。

深刻度「Critical」

CVE-2026-11628 : Ozone における解放後使用（Use after free）
CVE-2026-11629 : Ozone における解放後使用（Use after free）
CVE-2026-11630 : File Input における解放後使用（Use after free）
CVE-2026-11631 : Aura における解放後使用（Use after free）
CVE-2026-11632 : TabStrip における解放後使用（Use after free）
CVE-2026-11633 : Bluetooth における解放後使用（Use after free）
CVE-2026-11634 : Gamepad における解放後使用（Use after free）
CVE-2026-11635 : Bluetooth における解放後使用（Use after free）
CVE-2026-11636 : Autofill における解放後使用（Use after free）
CVE-2026-11637 : Views における解放後使用（Use after free）
CVE-2026-11638 : Printing における解放後使用（Use after free）
CVE-2026-11639 : Compositing における解放後使用（Use after free）
CVE-2026-11640 : libyuv における整数オーバーフロー（Integer overflow）
CVE-2026-11641 : Bluetooth における解放後使用（Use after free）
CVE-2026-11642 : Web Apps における解放後使用（Use after free）
CVE-2026-11643 : Proxy における解放後使用（Use after free）
CVE-2026-11644 : Views における解放後使用（Use after free）

また、深刻度「High（高）」に分類される脆弱性が 55 件、深刻度「Medium（中）」に分類される脆弱性が 2 件修正されています。

深刻度「High」

CVE-2026-11645 : V8 における境界外メモリアクセス（Out of bounds memory access）
CVE-2026-11646 : ViewTransitions における解放後使用（Use after free）
CVE-2026-11647 : Printing における解放後使用（Use after free）
CVE-2026-11648 : FullScreen における解放後使用（Use after free）
CVE-2026-11649 : V8 における解放後使用（Use after free）
CVE-2026-11650 : V8 における解放後使用（Use after free）
CVE-2026-11651 : Network における解放後使用（Use after free）
CVE-2026-11652 : Extensions における解放後使用（Use after free）
CVE-2026-11653 : Extensions における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11654 : CameraCapture における解放後使用（Use after free）
CVE-2026-11655 : Media における整数オーバーフロー（Integer overflow）
CVE-2026-11656 : ServiceWorker における解放後使用（Use after free）
CVE-2026-11657 : Payments における解放後使用（Use after free）
CVE-2026-11658 : Extensions における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11659 : UI における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11660 : New Tab Page における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11661 : Views における解放後使用（Use after free）
CVE-2026-11662 : Bindings における型の混同（Type Confusion）
CVE-2026-11663 : Skia における解放後使用（Use after free）
CVE-2026-11664 : Payments における解放後使用（Use after free）
CVE-2026-11665 : Dawn における境界外読み取り（Out of bounds read）
CVE-2026-11666 : Input における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11667 : WebRTC における境界外読み取り（Out of bounds read）
CVE-2026-11668 : Codecs における未初期化使用（Uninitialized Use）
CVE-2026-11669 : Media における整数オーバーフロー（Integer overflow）
CVE-2026-11670 : PDF における解放後使用（Use after free）
CVE-2026-11671 : Navigation における解放後使用（Use after free）
CVE-2026-11672 : GPU における境界外書き込み（Out of bounds write）
CVE-2026-11673 : InterestGroups における解放後使用（Use after free）
CVE-2026-11674 : Guest View における解放後使用（Use after free）
CVE-2026-11675 : Skia における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11676 : Dawn における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11677 : Network における競合状態（Race）
CVE-2026-11678 : libyuv における整数オーバーフロー（Integer overflow）
CVE-2026-11679 : Codecs における解放後使用（Use after free）
CVE-2026-11680 : Media における解放後使用（Use after free）
CVE-2026-11681 : Ozone における解放後使用（Use after free）
CVE-2026-11682 : Views における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11683 : WebCodecs における解放後使用（Use after free）
CVE-2026-11684 : Network におけるポリシー適用の不備（Insufficient policy enforcement）
CVE-2026-11685 : MediaCapture におけるデータ検証の不備（Insufficient data validation）
CVE-2026-11686 : Dawn における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11687 : Dawn における解放後使用（Use after free）
CVE-2026-11688 : SVG におけるオブジェクトライフサイクルの問題（Object lifecycle issue）
CVE-2026-11689 : Passwords における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11690 : Media における境界外読み取りおよび書き込み（Out of bounds read and write）
CVE-2026-11691 : New Tab Page における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11692 : Read Anything における解放後使用（Use after free）
CVE-2026-11693 : Plugins における不適切な実装（Inappropriate implementation）
CVE-2026-11694 : ServiceWorker における解放後使用（Use after free）
CVE-2026-11695 : Passwords における不適切な実装（Inappropriate implementation）
CVE-2026-11696 : Video における未初期化使用（Uninitialized Use）
CVE-2026-11697 : UI における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）
CVE-2026-11698 : Bluetooth における解放後使用（Use after free）
CVE-2026-11699 : Bluetooth における解放後使用（Use after free）

深刻度「Medium」

CVE-2026-11700 : Tracing における解放後使用（Use after free）
CVE-2026-11701 : Guest View における信頼できない入力の不十分な検証（Insufficient validation of untrusted input）

Google は CVE-2026-11645（V8 における境界外メモリアクセス）について、すでに実際の攻撃への悪用が確認されていることを明記しています。

なお、Google はユーザーの多くが修正版に更新するまで、脆弱性の詳細な技術情報の公開を制限する方針をとっています。

手動でアップデートを適用する方法

今回のアップデートはすでに悪用が確認されているゼロデイ脆弱性であるため、ユーザー自身で手動による確認と更新を行うことを強くおすすめします。

デスクトップ版 Chrome ブラウザで手動アップデートを行う手順は以下のとおりです。

Chrome ブラウザ右上の [︙] メニューをクリック
[ヘルプ] > [Google Chrome について] を選択
自動的にアップデートの確認とダウンロードが開始
ダウンロード完了後、[再起動] ボタンをクリックして更新を適用

Chromebook など ChromeOS デバイスに対する同様のセキュリティ修正についても、今後順次展開される予定です。

前回のアップデート: Google、Chrome 149 安定版をリリース。深刻度「Critical」の脆弱性 22 件を含む 429 件を修正

Android Auto の Google マップが夜間モードに切り替わらない問題が報告。v17.0 以降で増加

尾村真英

Technical Writer

HelenTech を運営している尾村真英です。これまでに 50 台以上の Chromebook をレビューしており、主に小規模事業者を対象に Chromebook や Google Workspace の導入・活用支援も行っています。
現在は、Chrome Enterprise 公式ユーザーコミュニティのモデレーターとしても活動し、Professional ChromeOS Administrator 資格を保有しています。