Trusted DesignCVE-2026-2441 の詳細
CVEの情報
説明:
Use after free in CSS in Google Chrome prior to 145.0.7632.75 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High)
CVE更新日: 2026-02-13 19:17:31.310000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2026-02-17
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.003450000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2026-2441 は Google Chrome の CSS 処理エンジン(Blink)に存在する Use-after-free(UAF)脆弱性。悪意ある Web ページを閲覧するだけでサンドボックス内で任意コード実行が可能。Google は実際の攻撃で悪用されているゼロデイとして緊急パッチを公開。 【1. 脆弱性の概要】 - CSS / フォント処理における Use-after-free(UAF) - メモリ解放後の領域を再利用することで任意コード実行が可能 - 悪意ある Web ページ閲覧のみで攻撃成立 - 実際の攻撃で悪用確認済み 【2. 深刻度】 - CVSS 3.x:未評価(NVD) - CVSS 4.0:未評価(NVD) - 実質的には Critical 相当 【3. 影響範囲】 - Google Chrome 145 より前の全バージョン(Windows / macOS / Linux) 【4. 兆候】 - 不審な Chrome プロセス生成 - サンドボックス内での異常動作 - 追加マルウェアのダウンロード 【5. 推奨対策】 - Chrome を 145.0.7632.75/76 以降へ更新 - 自動更新の有効化 - 拡張機能による更新妨害の無効化 - EDR によるブラウザ監視