2026年2月、Google Chromeに深刻なゼロデイ脆弱性CVE-2026-2441が発見され、緊急アップデートが配布された。CVSSスコア8.8の高リスク脆弱性として分類されたこのバグは、BlinkレンダリングエンジンのCSS処理コンポーネントに存在するUse-After-Free(解放後メモリ使用)の欠陥である。
脆弱性の核心は、CSSのルールの処理にある。Chromeがこのルールを解析してCSSFontFeatureValuesMapオブジェクトを生成する際、イテレータの無効化処理に不備があった。攻撃者が細工したHTMLページを用意し、フォントフィーチャー値のコレクションをイテレーション中に変更させることで、メモリが不正に解放され、ダングリングポインタが残留する状態を引き起こすことができた。
セキュリティ研究者のShaheen Fazim氏がこの脆弱性を発見し、Googleに報告した。特に危険なのは��、ユーザーが悪意のあるページにアクセスするだけで、クリックなどの追加操作なしにサンドボックス内で任意のコードが実行される可能性があった点である。Googleは実際にこの脆弱性を悪用したエクスプロイトが存在することを確認しており、実害が生じていた可能性がある。
Googleは2月13日にChrome 145.0.7632.75/76(Windows/macOS向け)および144.0.7559.75(Linux向け)をリリースし、この脆弱性を修正した。CSS-Tricksの記事では、CSSそのものが悪意あるコードなのではなく、ChromeのレンダリングエンジンがCSSをオブジェクトモデルに変換する過程で生じるメモリ管理の問題であることが解説されている。
