MEDIUMCVE-2026-4679

Google ChromeのFontsにおける整数オーバーフロー。バージョン146.0.7680.165より前のバージョンでは、悪意のあるHTMLページを介して、リモートの攻撃者がメモリ境界外への書き込みを実行することが可能でした。(Chromiumセキュリティ深刻度: High)

プラットフォーム

chrome

コンポーネント

chrome-fonts

修正版

146.0.7680.165

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4679は、Google ChromeのFontsコンポーネントにおける整数オーバーフローの脆弱性です。この脆弱性を悪用されると、攻撃者は特別に細工されたHTMLページを通じてメモリ破壊を引き起こす可能性があります。影響を受けるバージョンはChrome 146.0.7680.165以前です。Chromeのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この整数オーバーフローは、攻撃者がChromeのメモリ領域を意図的に上書きすることを可能にします。これにより、プログラムの実行が中断されたり、悪意のあるコードが実行されたりする可能性があります。攻撃者は、ユーザーが悪意のあるHTMLページを閲覧した際に、この脆弱性を悪用する可能性があります。メモリ破壊は、システムの安定性を損ない、機密情報の漏洩や、最終的にはシステム制御の奪取につながる可能性があります。この脆弱性は、ブラウザのレンダリングエンジンに直接影響を与えるため、攻撃の成功率は比較的高い可能性があります。

悪用の状況

この脆弱性は2026年3月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、整数オーバーフローは悪用が比較的容易な脆弱性であるため、将来的な攻撃の可能性は否定できません。KEVやEPSSスコアはまだ評価されていません。NVDおよびCISAの公開情報もまだありません。

リスク対象者翻訳中…

Users who rely on older, unpatched versions of Google Chrome are at risk. This includes individuals who have disabled automatic updates, organizations with legacy systems running older Chrome versions, and users who frequently visit untrusted websites. Shared hosting environments where users have limited control over their browser versions are also particularly vulnerable.

検出手順翻訳中…

• windows / chrome: Monitor Chrome's crash logs (chrome.exe) for unusual patterns or errors related to font rendering. Use Windows Defender Exploit Guard to block potentially malicious websites.

Get-Process chrome | Select-Object ProcessId, CPU, WorkingSet

• linux / server: Monitor Chrome's process memory usage using tools like top or htop. Examine system logs for crashes or errors related to Chrome.

ps aux | grep chrome

• generic web: Inspect HTTP requests and responses for unusual parameters or data related to font loading. Examine browser developer tools for any errors or warnings related to font rendering. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases. • wordpress / composer / npm: N/A - This vulnerability does not directly impact these components.

攻撃タイムライン

2026-03-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.11% (29% パーセンタイル)

影響を受けるソフトウェア

コンポーネントchrome-fonts

ベンダーGoogle

影響範囲修正版

146.0.7680.165 – 146.0.7680.165146.0.7680.165

弱点分類 (CWE)

CWE-472

タイムライン

予約済み2026-03-23
公開日2026-03-24
更新日2026-03-25
EPSS 更新日2026-03-31

緩和策と回避策

この脆弱性への最も効果的な対策は、Google Chromeをバージョン146.0.7680.165以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、信頼できないソースからのHTMLコンテンツの閲覧を避けることが推奨されます。また、ブラウザのセキュリティ設定を強化し、不明なWebサイトへのアクセスを制限することも有効です。WAFやプロキシサーバーを使用している場合は、悪意のあるHTMLコンテンツをブロックするルールを実装することを検討してください。

修正方法翻訳中…

Actualice Google Chrome a la versión 146.0.7680.165 o superior. Esto solucionará la vulnerabilidad de desbordamiento de enteros en el manejo de fuentes que permite la escritura fuera de los límites de la memoria.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4679 — 整数オーバーフロー in Chrome Fontsとは何ですか？

CVE-2026-4679は、Google ChromeのFontsコンポーネントにおける整数オーバーフローの脆弱性です。悪意のあるHTMLページを通じてメモリ破壊を引き起こす可能性があります。

CVE-2026-4679 in Chrome Fontsに影響を受けますか？

Google Chromeのバージョンが146.0.7680.165以前の場合、影響を受けます。Chromeを最新バージョンにアップデートすることで、この脆弱性は修正されます。

CVE-2026-4679 in Chrome Fontsを修正するにはどうすればよいですか？

Google Chromeをバージョン146.0.7680.165以降にアップデートしてください。自動アップデートが有効になっていることを確認してください。

CVE-2026-4679は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、将来的な攻撃の可能性は否定できません。

CVE-2026-4679に関するGoogleの公式アドバイザリはどこで入手できますか？

Googleのセキュリティアドバイザリページで確認できます。https://chromereleases.googleblog.com/ (最新情報をご確認ください)