技術的な説明
Chrome の JavaScript および WebAssembly エンジンである V8 の境界外読み取り・書き込み脆弱性により、リモート攻撃者は細工された HTML ページを通じてブラウザサンドボックス内で任意のコードを実行できます。Google は能動的な悪用を確認し、Chrome 149.0.7827.102/103 でパッチをリリースしました。CISA は 2026年6月9日にこの CVE を KEV カタログに追加しました。V8 脆弱性は、ブラウザベースの LLM インターフェース、WebGPU モデル推論、および Electron ベースの AI コーディングエージェント(Cursor、Claude Code デスクトップ)がすべて Chromium/V8 上で実行されるため、AI 隣接環境では特に懸念されます。
攻撃経路
被害者が攻撃者制御またはコンプロメイズされたウェブページを訪問します。細工された JavaScript が V8 の境界外メモリアクセスをトリガーし、Chrome レンダラーサンドボックス内でのコード実行を達成します。脅威アクターはおそらくサンドボックスエスケープとチェーンして、デバイス全体の侵害を行います。
影響を受けるシステム
Windows/macOS の Chrome バージョン 149.0.7827.103 より前および Linux 上の 149.0.7827.102、ならびに Microsoft Edge、Brave、Opera、Vivaldi、および更新をまだ受け取っていない Chromium ベースのブラウザまたは Electron アプリケーション(Electron 上に構築された AI コーディングエージェントを含む)。
緩和策
Chrome を 149.0.7827.102/.103 に直ちに更新してください。自動更新を待たないでください。企業チームはポリシー経由で更新をプッシュし、実行中のプロセスが再起動されたことを確認する必要があります。Electron ベースの AI コーディングツール(Cursor、Claude Code デスクトップアプリ、VS Code)は独自の Chromium ビルドを保持しており、個別に更新する必要があります。各ベンダーのリリースノートを確認してください。