技術的な説明
Chrome の JavaScript および WebAssembly エンジンである V8 の境界外読み取り・書き込み脆弱性により、リモート攻撃者は細工された HTML ページを介してブラウザサンドボックス内で任意のコードを実行できます。Google は能動的な悪用を確認し、Chrome 149.0.7827.102/103 でパッチを配信しました。CISA は 2026 年 6 月 9 日に CVE を KEV カタログに追加しました。V8 脆弱性は、ブラウザベースの LLM インターフェース、WebGPU モデル推論、Electron ベースの AI コーディングエージェント (Cursor、Claude Code デスクトップ) がすべて Chromium/V8 上で動作するため、AI 関連環境では懸念が高まっています。
攻撃経路
被害者が攻撃者が管理または侵害した Web ページにアクセスします。細工された JavaScript は V8 の境界外メモリアクセスをトリガーし、Chrome レンダラーサンドボックス内でコード実行を達成します。脅威アクターは、デバイス全体の侵害を実現するためにサンドボックスエスケープと連鎖させる可能性があります。
影響を受けるシステム
Windows/macOS では バージョン 149.0.7827.103 より前の Google Chrome、Linux では 149.0.7827.102、および Microsoft Edge、Brave、Opera、Vivaldi、並びにまだ更新を受け取っていない Chromium ベースのブラウザまたは Electron アプリケーション (Electron 上に構築された AI コーディングエージェントを含む)。
緩和策
Chrome を 149.0.7827.102/.103 に直ちに更新してください。自動更新を待たないでください。エンタープライズチームはポリシー経由で更新をプッシュし、実行中のプロセスが再起動されたことを確認する必要があります。Electron ベースの AI コーディングツール (Cursor、Claude Code デスクトップアプリ、VS Code) は独自の Chromium ビルドを維持しており、個別に更新する必要があります。各ベンダーのリリースノートを確認してください。