Trusted Design

CVE-2026-11645 の詳細

CVEの情報

説明:
Out of bounds read and write in V8 in Google Chrome prior to 149.0.7827.103 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High)

CVE更新日: 2026-06-09 00:16:47.370000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2026-06-09

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.016540000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

1. 脆弱性の概要

CVE‑2026‑11645 は Google Chrome の V8 JavaScript エンジン に存在するOut‑of‑Bounds Read / Write(境界外メモリアクセス) による リモートコード実行(RCE) 脆弱性。
攻撃者は 細工された HTML / JavaScript ページを閲覧させるだけで、Chrome のサンドボックス内で任意コード実行が可能となる。
V8 の TurboFan 最適化処理における範囲解析の欠陥 が原因で、本来削除されてはならない境界チェックが誤って除去されることにより発生する。

1.1 影響

  • サンドボックス内での任意コード実行(RCE)
  • 機密性:High / 完全性:High / 可用性:High(CVSS 評価より)
  • 悪意ある Web サイトを閲覧するだけで攻撃が成立

1.2 深刻度

  • CVSS v3.1:8.8(High)
    Vector:AV:N / AC:L / PR:N / UI:R / S:U / C:H / I:H / A:H (CISA‑ADP による評価)

  • Chromium Security Severity:High

  • CISA Known Exploited Vulnerabilities(KEV)に登録済み

2. 対象となる環境

2.1 影響を受ける製品・バージョン

  • Google Chrome

    • 149.0.7827.103 未満のすべてのバージョン
    • OS に依存せず、V8 エンジンを使用する Chrome 全プラットフォームが影響

2.2 影響を受ける設定

  • 特定の設定依存はなし
  • 通常のブラウジング環境で攻撃が成立(悪意ある HTML ページ閲覧)

3. 影響を受けた時の兆候(IoC)

公開情報に 明確な IoC の記載はなし。
ただし、脆弱性の性質から以下が発生し得る(事実ベースの挙動):

  • 悪意ある Web ページ閲覧後にブラウザプロセスが異常動作
  • サンドボックス内で不審なメモリアクセスが発生
    (※特定の IoC は公開されていない)

4. 推奨対策

4.1 本対策(恒久対策)

  • Google Chrome を 149.0.7827.103 以降へアップデート
    → V8 の境界外アクセス欠陥が修正済み

4.2 暫定回避策(緩和策)

ベンダー公式ワークアラウンドは なし。 OpenCVE による推奨緩和策(事実):

  • 信頼できないサイトの閲覧を制限
  • 企業環境ではブラウザポリシーで未承認サイトをブロック
  • 旧バージョンの Chrome を隔離・削除

5. その他補足すべき観点

5.1 悪用状況

CISA KEV に登録済み → 悪用が確認されている

5.2 脆弱性の根本原因

  • TurboFan 最適化処理における範囲解析(range analysis)の誤り
  • 誤った境界チェック削除により OOB Read/Write が発生

NVDサイト

NVDでCVEの詳細を見る

戻る