【緊急】CSSにゼロデイ脆弱性「CVE-2026-2441」が発覚！すでに実環境での悪用も確認済み

CSSにおける深刻なゼロデイ脆弱性「CVE-2026-2441」の存在が明らかになりました。現在、すでに実際の環境でこの脆弱性を狙った攻撃（in the wild）が確認されている状況です。Web開発者やセキュリティエンジニアは、最新情報の収集とパッチ適用などの対策を急ぐ必要があります。

「CSSでUse-after-free」って、説明としてなんか面白いな。

「Google ChromiumのCSSにUse-after-freeの脆弱性があり、細工されたHTMLページを通じてリモートの攻撃者がヒープ破損を悪用できる可能性がある。この脆弱性は、Google Chrome、Microsoft Edge、Operaを含む（これらに限定されない）Chromiumを利用する複数のブラウザに影響する可能性がある。」これ、かなりヤバいね！報告したリサーチャーにどれくらいの報奨金が出たのか気になる。

未だにこういうのが出てくるって、正直信じられない。メモリ安全な言語が設計上当たり前に持ってるチェックを適用して、メモリ安全に近いバイナリを作れるツールって山ほどあるんじゃないの？CSSが長年かけて変数やスコープ、Less/Sass/CoffeeScriptの要素を取り込んで激変したのはわかるけど。JavaScriptが危ないからってみんなNo-Scriptを使ってるけど、もしCSSも同じくらいリスクがあるとしたら……次は「No-Style」の出番かな？正直、フルレポートが楽しみ。めちゃくちゃアホなミスか、手の込んだマルチステップの攻撃チェーンのどっちかだろうし。

ChromiumもレンダリングエンジンをRustで書き直すべきかもね ;p

PoCコードがどんな感じか見てみたいな。もちろん、パッチが行き渡って数週間経ってからだけど。

これ、マジでやばいな！他にもどんなゼロデイが放置されて使われてるんだろう。あと、これってChromiumだけっぽいからFirefoxには影響ないのかな？

この脆弱性がいまいち理解できないんだけど。悪用したところで、エクスプロイトコードを実行してるページの情報が抜けるだけでしょ？サンドボックス脱出やXSSなしだと、ほとんど無害に思えるんだけど。GitHubのPoCにある「影響」セクションはこんな感じ：レンダラプロセスのサンドボックス内での任意のコード実行。情報漏洩（V8ヒープポインタの流出によるASLR回避、レンダラメモリ内容の読み取り）。認証情報の窃盗（cookie、localStorage、入力値の読み取り）。セッションハイジャック（トークンの窃取、外部送信）。DOM操作（フィッシングフォームの挿入など）。キーロギング（キー入力のキャプチャ）。

ChromiumやBlinkのコードベースの、長い間誰もまともに見ていないような暗い隅っこに、こういうバグがどれくらい潜んでるんだろう。プロジェクトの重要性を考えたら、フルタイムで人員も予算も十分な専用チームを置いて、1行ずつ精査して、悪用される前に見つけ出して修正すべきだよ。スマート冷蔵庫との連携とか、Googleが最近Chromeにくっつけようとしてる余計な機能にリソースを割くより、よっぽど有意義だと思う。

意図的に残されてるゼロデイってどれくらいあるんだろうって、いつも考えちゃうよ……。