世界を動かす技術を、日本語で。

ゼロデイCSS: CVE-2026-2441が実際に存在する

概要

  • Stableチャンネル のアップデート情報
  • Windows/Mac/Linux 向けのバージョンと展開予定
  • 1件のセキュリティ修正 を含む内容
  • CVE-2026-2441 の脆弱性と既知の悪用情報
  • バグ報告・サポート への案内

Chrome Stableチャンネル アップデート情報

  • バージョン145.0.7632.75/76 (Windows/Mac)、 144.0.7559.75 (Linux)へのアップデート
    • 数日から数週間かけて 順次展開
  • アップデート内容 の詳細は Log にて公開
    • バグの詳細やリンクは、 大多数のユーザーに修正が行き渡るまで制限
    • サードパーティライブラリに依存する未修正バグの場合も 制限継続

セキュリティ修正と報奨

  • 1件のセキュリティ修正 を含むアップデート
    • CVE-2026-2441 :CSSにおける Use after free の脆弱性
      • Shaheen Fazim による報告(2026-02-11)
      • 深刻度:High
      • Google は、この脆弱性の 実際の悪用を確認
  • Chrome Security Page で詳細情報を案内
  • 開発サイクル中 に協力した セキュリティ研究者への感謝

セキュリティバグの検出手法

  • AddressSanitizer
  • MemorySanitizer
  • UndefinedBehaviorSanitizer
  • Control Flow Integrity
  • libFuzzer
  • AFL などのツール活用

サポート・コミュニティ案内

  • リリースチャンネルの切り替え方法 を案内
  • 新たな問題発見時バグ報告 を推奨
  • コミュニティヘルプフォーラム での情報交換やサポート案内

署名

  • Srinivas Sista
  • Google Chrome

Hackerたちの意見

「CSSの使った後の解放」って面白い表現だね。

なんで?

彼らが言いたかったのは、CSSパーサーとかCSSオブジェクトモデル(CSSOM)みたいなことだと思う。

「Google Chromium CSSには、リモート攻撃者が特別に作成したHTMLページを通じてヒープの破損を悪用する可能性がある使った後の解放脆弱性が含まれています。この脆弱性は、Google ChromeやMicrosoft Edge、Operaなど、Chromiumを利用している複数のウェブブラウザに影響を与える可能性があります。」これはかなりヤバいね!研究者にはどれくらいの報酬が出たのか気になるな。

「実際、Braveを忘れてるよ。」

要するに、Firefoxは影響を受けないってこと?

これはかなりヤバいね!研究者にはどれくらいの報酬が出たのか気になるな。もし2万ドル以上だったら驚くけど。バグバウンティの報酬は通常、犯罪的に低いからね。深刻な脆弱性を見つけるだけでなく、それを信頼できる方法で悪用することを示す努力を考えると、なおさらそう感じる。

そうだけど、21世紀のシステム言語で使った後の解放を軽視するのはやめようよ。

おそらく、これってChromeを埋め込んでるすべてのElectronアプリに影響するんじゃない?Chromeのバージョンって固定してないの?

意味のある脆弱性になるにはサンドボックス脱出が必要だよね。残念ながら、「実際に見られた」ってことは、彼らもサンドボックス脱出を持ってた可能性が高いし、それは適切に動作している実行における脆弱性じゃないから、公開されてないんだろうね(つまり、ヒープがすでに破損してなければ、脆弱性は存在しない)。

こういうのがまだ存在するのは本当に驚きだよ。メモリ安全な言語が設計上の理由で無料でもらえるバリデーションチェックを適用して、安全なバイナリを作るツールがたくさんあるはずじゃない? CSSは年々、変数やスコープ、less/sass/coffeeからの要素を取り入れてかなり変わったのは分かるけど、みんながno-scriptを使うのはJavaScriptが危険だからだよね。でも、CSSも同じくらい危険だったらどうする? no-styleも必要になるのかな?正直、完全なレポートが楽しみだよ。どっちにしても、めちゃくちゃバカみたいか、複雑な攻撃チェーンかのどちらかだと思う。

メモリセーフな言語がその設計から自然に得られるバリデーションチェックを適用して、メモリセーフなバイナリを作るためのツールって、たくさんあるんじゃないの? いや、実際にはないよ。今あるツールは、Chromiumで大いに活用されているか、Googleが似たプロジェクトのために開発したものばかり。何十億もかけて、Chromiumの脆弱性をなくそうとしてるけど、結局こうなっちゃってる。もう少し詳しく説明するね。サニタイザーみたいなものは、テストカバレッジに大きく依存してる。Googleはファジングみたいなことにお金をたくさん使ってるけど、カバレッジは依然として重要な要件なんだ。大規模なコードベースだと、適切なカバレッジを得るのは本当に難しい。もっとこの脆弱性について学ぶ必要があるけど、その制限だけでもギャップを説明するには十分だよ。

Hacker Newsで議論の続きを見る