UNKNOWNCVE-2026-34774
CVE-2026-34774: electronのUse-After-Free脆弱性(CVSS 8.1)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
39.8.1
CVE-2026-34774は、electronのoffscreen rendering機能におけるUse-After-Freeの脆弱性です。この脆弱性は、`window.open()`を使用して子ウィンドウを許可するアプリケーションに影響を与え、親のoffscreen `WebContents`が破棄された後、子ウィンドウでメモリ破壊やクラッシュが発生する可能性があります。影響を受けるのは、offscreen rendering (`webPreferences.offscreen: true`)を使用し、かつ`setWindowOpenHandler`で子ウィンドウを許可しているアプリケーションです。バージョン39.8.1で修正されています。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34774とは何ですか?
CVE-2026-34774は、electronのoffscreen renderingにおけるUse-After-Freeの脆弱性です。
自分は影響を受けますか?
electronでoffscreen renderingを使用し、かつ`window.open()`で子ウィンドウを許可している場合、影響を受ける可能性があります。
どのように修正すればよいですか?
electronをバージョン39.8.1以降にアップデートしてください。または、子ウィンドウの作成を拒否することで回避できます。