ハクソク

世界を動かす技術を、日本語で。

ゼロデイCSS: CVE-2026-2441が実際に存在する

96日前原文(chromereleases.googleblog.com)

概要

  • Stableチャンネル のアップデート情報
  • Windows/Mac/Linux 向けのバージョンと展開予定
  • 1件のセキュリティ修正 を含む内容
  • CVE-2026-2441 の脆弱性と既知の悪用情報
  • バグ報告・サポート への案内

Chrome Stableチャンネル アップデート情報

  • バージョン145.0.7632.75/76 (Windows/Mac)、 144.0.7559.75 (Linux)へのアップデート
    • 数日から数週間かけて 順次展開
  • アップデート内容 の詳細は Log にて公開
    • バグの詳細やリンクは、 大多数のユーザーに修正が行き渡るまで制限
    • サードパーティライブラリに依存する未修正バグの場合も 制限継続

セキュリティ修正と報奨

  • 1件のセキュリティ修正 を含むアップデート
    • CVE-2026-2441 :CSSにおける Use after free の脆弱性
      • Shaheen Fazim による報告(2026-02-11)
      • 深刻度:High
      • Google は、この脆弱性の 実際の悪用を確認
  • Chrome Security Page で詳細情報を案内
  • 開発サイクル中 に協力した セキュリティ研究者への感謝

セキュリティバグの検出手法

  • AddressSanitizer
  • MemorySanitizer
  • UndefinedBehaviorSanitizer
  • Control Flow Integrity
  • libFuzzer
  • AFL などのツール活用

サポート・コミュニティ案内

  • リリースチャンネルの切り替え方法 を案内
  • 新たな問題発見時バグ報告 を推奨
  • コミュニティヘルプフォーラム での情報交換やサポート案内

署名

  • Srinivas Sista
  • Google Chrome

Hackerたちの意見

「CSSの使った後の解放」って面白い表現だね。

なんで?

彼らが言いたかったのは、CSSパーサーとかCSSオブジェクトモデル(CSSOM)みたいなことだと思う。

「Google Chromium CSSには、リモート攻撃者が特別に作成したHTMLページを通じてヒープの破損を悪用する可能性がある使った後の解放脆弱性が含まれています。この脆弱性は、Google ChromeやMicrosoft Edge、Operaなど、Chromiumを利用している複数のウェブブラウザに影響を与える可能性があります。」これはかなりヤバいね!研究者にはどれくらいの報酬が出たのか気になるな。

「実際、Braveを忘れてるよ。」

要するに、Firefoxは影響を受けないってこと?

これはかなりヤバいね!研究者にはどれくらいの報酬が出たのか気になるな。もし2万ドル以上だったら驚くけど。バグバウンティの報酬は通常、犯罪的に低いからね。深刻な脆弱性を見つけるだけでなく、それを信頼できる方法で悪用することを示す努力を考えると、なおさらそう感じる。

そうだけど、21世紀のシステム言語で使った後の解放を軽視するのはやめようよ。

おそらく、これってChromeを埋め込んでるすべてのElectronアプリに影響するんじゃない?Chromeのバージョンって固定してないの?

意味のある脆弱性になるにはサンドボックス脱出が必要だよね。残念ながら、「実際に見られた」ってことは、彼らもサンドボックス脱出を持ってた可能性が高いし、それは適切に動作している実行における脆弱性じゃないから、公開されてないんだろうね(つまり、ヒープがすでに破損してなければ、脆弱性は存在しない)。

こういうのがまだ存在するのは本当に驚きだよ。メモリ安全な言語が設計上の理由で無料でもらえるバリデーションチェックを適用して、安全なバイナリを作るツールがたくさんあるはずじゃない? CSSは年々、変数やスコープ、less/sass/coffeeからの要素を取り入れてかなり変わったのは分かるけど、みんながno-scriptを使うのはJavaScriptが危険だからだよね。でも、CSSも同じくらい危険だったらどうする? no-styleも必要になるのかな?正直、完全なレポートが楽しみだよ。どっちにしても、めちゃくちゃバカみたいか、複雑な攻撃チェーンかのどちらかだと思う。

メモリセーフな言語がその設計から自然に得られるバリデーションチェックを適用して、メモリセーフなバイナリを作るためのツールって、たくさんあるんじゃないの? いや、実際にはないよ。今あるツールは、Chromiumで大いに活用されているか、Googleが似たプロジェクトのために開発したものばかり。何十億もかけて、Chromiumの脆弱性をなくそうとしてるけど、結局こうなっちゃってる。もう少し詳しく説明するね。サニタイザーみたいなものは、テストカバレッジに大きく依存してる。Googleはファジングみたいなことにお金をたくさん使ってるけど、カバレッジは依然として重要な要件なんだ。大規模なコードベースだと、適切なカバレッジを得るのは本当に難しい。もっとこの脆弱性について学ぶ必要があるけど、その制限だけでもギャップを説明するには十分だよ。

ChromiumもRustでレンダリングエンジンを書き直した方がいいんじゃない? ;p

これって、Chromiumベースの多くのブラウザには影響しないの?

「この脆弱性は、Google Chrome、Microsoft Edge、Operaなど、Chromiumを利用する複数のウェブブラウザに影響を与える可能性があります。」

そうだよ、そのブログはChrome向けだから他のブラウザについては触れてないだけ。

なんでそんなことを仮定するの?正直気になる。 "Chromeベース"って言ったら、エンジンをフォークしたってことなの?それとも単に「UIスキンを適用した」だけ?

PoCコードがどんな感じか見てみたいな、もちろんパッチが数週間出た後だけど。

これだよ: https://github.com/huseyinstif/CVE-2026-2441-PoC

これヤバすぎ!他にどんなゼロデイがあって使われてるんだろう?これってChromiumだけみたいだから、Firefoxには影響しないのかな?

この脆弱性がよく分からないんだけど、悪用されると、どのページからそのコードが動いてるかの情報が取れるってこと?サンドボックスの脱出やXSSがないなら、ほぼ無害じゃない?これがhttps://github.com/huseyinstif/CVE-2026-2441-PoCの「影響」セクションだよ:レンダラープロセスのサンドボックス内での任意コード実行 情報漏洩 — V8ヒープポインタの漏洩(ASLRバイパス)、レンダーのメモリ内容の読み取り 認証情報の盗難 — document.cookie、localStorage、sessionStorage、フォーム入力値の読み取り セッションハイジャック — セッショントークンの盗難、fetch() / WebSocket / sendBeacon()での外部送信 DOM操作 — フィッシングフォームの注入、ページ内容の変更 キーロギング — addEventListener('keydown')で全てのキー入力をキャッチ

ブラウザの脆弱性はほとんどいつも二段階なんだよね。レンダラーのバグを悪用してサンドボックス化されたプロセス内で任意コード実行を得て、次にサンドボックス脱出の脆弱性を使って非サンドボックスのブローカープロセスで任意コード実行を得るって感じ。最初の部分(ほぼ確実にAI生成の)要約が悪いところで、これはブラウザの完全な妥協チェーンの一部を意味してる。サンドボックス脱出が必要ってことは無害ってわけじゃないし、特に実際に悪用されてるなら、使ってる人はたぶんそれと一緒にサンドボックス脱出も持ってるだろうね。

こういうバグがChromium/Blinkのコードベースの暗い隅っこにどれだけ潜んでるのか気になるな。プロジェクトの重要性を考えると、ちゃんとしたチームが全行を徹底的にチェックして、こういうのを見つけて修正するべきだよね。スマート冷蔵庫の統合とか、Googleが最近Chromeに追加した余計な機能より、リソースの使い方としてはずっと良いと思う。

Chromiumはかなり積極的にファズテストされてるよ。十分に攻撃的なファッザーを使えば、届かない暗い隅っこはあまりないんじゃないかな。