Google Chromium V8に境界外読み書きの脆弱性(CVE-2026-11645)— 細工HTMLでコード実行、Chrome/Edge等に影響
GoogleのJavaScriptエンジン「Chromium V8」に境界外(out-of-bounds)の読み書きの脆弱性。攻撃者が細工したHTMLページを通じて、サンドボックス内で任意コードを実行しうる。Chromiumを使う複数のブラウザ(Chrome・Edge・Opera等)に影響する。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。
脆弱性の基本情報
- CVE番号CVE-2026-11645
- CVSS基本値8.8 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Google Chromium V8
- CWECWE-787, CWE-125
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-23(米連邦民生機関・BOD 22-01)
要点
CVE-2026-11645は、Chromiumブラウザの中核をなすJavaScriptエンジン「V8」に存在する境界外読み書き(CWE-787:境界外書き込み/CWE-125:境界外読み取り)の脆弱性だ。CISAのKEVカタログに2026年6月9日付で追加された。
NVDの説明によれば、攻撃者は細工したHTMLページを通じて、サンドボックス内で任意コードを実行しうる。重要なのは、影響がGoogle Chrome単体にとどまらない点だ。NVDは「Chromiumを利用する複数のWebブラウザ(Google Chrome・Microsoft Edge・Operaを含むが、これらに限らない)に影響しうる」と明記している。Chromiumは多くのブラウザの共通基盤であるため、1つのエンジンの脆弱性が広範なブラウザに波及する。
ブラウザは、ユーザーが日常的に悪意あるサイトに接触しうる「最前線」の資産だ。境界外読み書きはメモリ破壊を通じてコード実行につながりうる典型的な脆弱性で、ブラウザのゼロデイは標的型攻撃で繰り返し悪用されてきた。サンドボックス内の実行とはいえ、KEV入りは迅速な更新を促すものだ。
【対応の要点】各ブラウザベンダーの指示に従って最新版へ更新する(Chromium系ブラウザは自動更新が基本だが、再起動して更新を確実に適用する)。クラウド利用時はBOD 22-01に準拠。連邦民生機関の是正期限は2026年6月23日。
なぜ重要か
共通基盤Chromiumのブラウザ脆弱性で、Chrome/Edge/Opera等に広く波及する事例。端末管理者は、ブラウザの自動更新の徹底と再起動による適用確認が要点。ブラウザのゼロデイ対応の重要性を改めて示す。
よくある質問(FAQ)
V8とは何ですか?
なぜChrome以外も影響するのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。