脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
High CVSS 8.8 KEV 悪用確認
CVE-2026-11645

Google Chrome / Chromium V8 境界外読み書き(ゼロデイ)

CVE IDCVE-2026-11645
製品Google / Chromium V8 / Chrome
CVSS8.8(High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
種別 (CWE)CWE-787/125 境界外書き込み・読み取り
登録/公開日2026/06/09
KEV 期限2026/06/23 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従い、クラウドサービスは BOD 22-01 の該当ガイダンスに従う
出典https://nvd.nist.gov/vuln/detail/CVE-2026-11645

概要

Google Chrome の V8 エンジンにおける境界外読み書きの脆弱性。細工した HTML ページによりサンドボックス内で任意コード実行に至る。実際に悪用が確認されたゼロデイ。修正版は Chrome 149.0.7827.103(Linux 版は 149.0.7827.102)。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2/WorkSpaces 等で稼働する Chrome/Chromium を 149.0.7827.103 以降へ更新
ブラウザ利用者側の更新。AWS 固有の修正提供はなく、OS/パッケージ管理経由で更新。
参照リンク
GCP パッチあり(アプリ更新)
GCE 等で稼働する Chrome/Chromium を修正版へ更新
GCP 固有の修正提供はなし。ブラウザ/パッケージの更新で対応。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM / AVD 上の Chrome/Chromium を修正版へ更新
Azure 固有の修正提供はなし。ブラウザ/パッケージの更新で対応。
参照リンク
Linux ディストリ修正あり
chromium を 149.0.7827.102 以降へ更新(ディストリのセキュリティ更新を適用)
Ubuntu Security Notices / Red Hat RHSA 等のディストリ提供パッケージ更新で対応。個別の USN/RHSA 番号は各ディストリのトラッカーで確認。
参照リンク

解決の方向性(パッチ/回避策/代替)

Chrome / Chromium ベースブラウザを 149.0.7827.103(Linux は .102)以降へ更新するのが確実。VDI やビルドサーバ、Chrome を同梱する環境も含めて更新する。Linux ではディストリの chromium パッケージ更新(Ubuntu USN / Red Hat RHSA)を適用。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る