このサイトでの挿絵は、Gemini Proによる生成が大半です。 また、情報収集・まとめなどのサイトについては、検索結果をベースとしたものを使用しています。可能な限り出典を明示するよう努めますが完全ではありません。各自で調べる事もお忘れなく。
週刊OSS動向 セキュリティ

Chrome緊急アップデート・Linuxに19年潜んだバグ・Rolldown制覇―2026年6月23日のOSSまとめ

こんにちは、コンテンツ制作部のライターです。

正直に言うと、今日のニュースを並べていて「うわ、これ全部同じ日に降ってきたの?」と二度見しました。Chrome に「今日が対応期限」のゼロデイ、Linux カーネルに 19年 潜んでいた特権昇格バグ、そして JavaScript 界隈では地味に革命が起きていた、と。落ち着きがない。

というわけで今日のテーマをひとことで言うなら、 「足元(カーネル)からブラウザの中まで、土台がガタガタ揺れている日」 です。インパクトの強いやつから順に、でも息継ぎできるように緩急つけてお届けします。最後まで読むと「あ、今日中にこれだけはやっとこ」というのが分かるはずです。

1. CIFSwitch(CVE-2026-46243)― Linuxカーネルに19年いた居候

まず一番ヒヤッとしたやつから。 CIFSwitch と名付けられた、Linux カーネルのローカル特権昇格(LPE)バグです。CVE 番号は CVE-2026-46243

何が怖いって、このバグ、 19年 前から存在していたらしいんです。19年。生まれた赤ちゃんが成人する手前まで、誰にも見つからずカーネルの中に居座っていた居候みたいなものです。発見したのは Asim Viladi Oglu Manizada さん。よく見つけたな…と素直に感心しました。

何が起きるの?

ざっくり言うと、CIFS(SMB、いわゆる Windows のファイル共有プロトコル)クライアントのコードに .vet_description というフックが「付け忘れられていた」のが原因です。本来そこでチェックされるべき情報がノーチェックで通ってしまう。結果として、ローカルの一般ユーザーが root 権限を奪える、という典型的にイヤなパターンです。

CVSS スコアは見る人によって 7.1〜7.8 とされていて、「Critical(緊急)」一歩手前の「High(高)」。数字だけ見るとそこまでギョッとしないかもしれませんが、「ローカルにログインできる相手なら root を取れる」というのは、共用サーバーやコンテナホストを運用している人にとってはかなり生々しい話です。

自分は影響を受けるの?

発動条件が2つあります。

  • cifs-utils がインストール済み であること
  • 非特権ユーザー名前空間(unprivileged user namespaces)が有効 であること

逆に言うと、この両方が揃っていなければ即アウトというわけではありません。「うちはファイルサーバーで SMB 使ってるな…」という人は要注意、という感じですね。緩和策としては、修正パッチ(コミット 3da1fdf4efbc)が当たったカーネルへ更新するのが王道ですが、すぐにリブートできない環境では CIFS モジュールをブラックリスト化 して読み込ませないという手も紹介されています。

PoC(実証コード)はすでに GitHub の manizada/CIFSwitch で公開されています。攻撃側の道具が揃っているということは、のんびりはしていられない、ということでもあります。実はこの「PoC公開済み」の一文を見た瞬間に、私の中で優先度が一段上がりました。コードが世に出ている脆弱性は、もう「いつか誰かが」ではなく「明日にも誰かが」なので。

2. systemd v261 ― もはや「init」を名乗るのを忘れてないか?

少し肩の力を抜きましょう。次は毎度おなじみ、賛否両論の常連 systemd の話です。 v261 が 2026年6月19日 にリリースされました。

正直に白状すると、私は昔 systemd にちょっと懐疑的でした。「init プロセスが、なんでこんなに色々抱え込むの?」と。でも今回のリリースを見て、もう諦めの境地というか、「あ、これは init じゃなくて “統合プラットフォーム” を目指してるんだな」とハラオチしました。

クラウドの「メタデータ」を取りに行く systemd-imdsd

目玉のひとつが systemd-imdsd 。IMDS というのは Instance Metadata Service の略で、クラウド上の仮想マシンが「自分はどのリージョンにいて、どんな認証情報を持っているか」を取得するための仕組みです。AWS や GCP を触ったことがある人なら、あの 169.254.169.254 というアドレスに見覚えがあるかもしれません。

この新コンポーネントは 9つのクラウド に対応しているとのこと。これまで各ツールがバラバラに実装していたクラウドメタデータの取得を、systemd が標準で面倒見ますよ、という流れです。便利と言えば便利。でも「またひとつ抱え込んだな…」という気持ちも正直あります。

テキストUIのOSインストーラーまで登場

さらに systemd-sysinstall という、テキストUI(TUI)ベースの OS インストーラーまで入ってきました。OS を入れる工程まで systemd ファミリーでまかなえる、というわけです。

ここまで来ると、もう「PID 1 を起動するためのもの」という昔のイメージは完全に過去のものですね。

そして恒例の「お祭り」、birthDateフォーク騒動

systemd といえば、技術的な議論が時々“お祭り”になることでも有名です。今回は birthDate(誕生日)フィールド をめぐって論争が勃発。なんと反発したメンバーが本家からフォークして Liberated systemd を立ち上げ、 330スター を集める事態に発展しました。

技術的なフィールド名ひとつでフォークが生まれる、というのは外から見ると「えっ、そこ?」という感じですが、OSS の世界では「設計思想の違い」が時にこういう形で噴き出します。個人的にはこういう人間くさいドラマ、嫌いじゃないです。皆さんはこういうフォーク騒動、ワクワク派ですか、それとも「勘弁してくれ」派ですか?

3. Linux 7.2 の exFAT、地味に速くなります

ここで一気に地味な、でも実利のある話を挟みます。 Linux 7.2 で、 exFAT ファイルシステムが内部的に iomap という仕組みへ移行しました。

exFAT というのは、大容量の USB メモリや SD カードでよく使われているファイルシステムです。FAT32 の「4GB の壁」を超えられるやつ、と言えば「ああ、あれね」となる人も多いはず。

buffer_head からの卒業

技術的には、これまで exFAT が使っていた古い buffer_head という入出力の仕組みを、より新しくモダンな iomap へ置き換えた、というのが今回の変更です。マージコミットは a975094bf98 で、変更規模は 878行追加・531行削除 。担当したのは Linaro / Samsung の Namjae Jeon さん。

何がうれしいの?

ユーザー目線でのご利益は、ずばり USB メモリや SD カードの転送が速くなる ことです。地味ですが、写真や動画を大量にコピーする人にとっては体感に効いてくるかもしれません。

そしてもうひとつ嬉しいのが、これで exFAT が XFS や ext4 と同じ共通インフラ(iomap)に合流 したこと。つまり、今後 iomap 側が改善されれば、その恩恵を exFAT も自動的に受けられるようになる、ということです。バラバラだったものが一本にまとまっていく、こういう「縁の下のリファクタリング」、私はかなり好きです。派手さはゼロですが、長く効くやつ。

4. Rolldown 1.0 ― Rust製バンドラがViteの“二本立て”を終わらせた

さて、フロントエンドの人、お待たせしました。ここ、個人的に今日いちばんテンションが上がったトピックです。 Rolldown 1.02026年5月7日 にリリースされ、そして Vite 8 のデフォルトバンドラ に採用されました。

「esbuild + Rollup」の地味なモヤモヤ

これまでの Vite には、実はちょっとした“ねじれ”がありました。開発時は高速な esbuild を、本番ビルド時は Rollup を使う、という二本立て構成だったんです。

これ、何が困るかというと、「開発では問題なく動いたのに、本番ビルドしたら挙動が微妙に違う」みたいな事故がたまに起きる。同じ素材を別々の道具で加工しているわけですから、まあ当然といえば当然です。私も昔これでハマって、半日溶かしたことがあります…公式通りに作ったはずなのに、なんで本番だけ、と。

Rolldown はこれを 単一のバンドラに統合 します。Rust 製で速く、しかも開発も本番も同じエンジン。あの地味なモヤモヤが、ようやく解消されるわけです。

数字がエグい:Linearは46秒→6秒

「速い速いって、どのくらいよ?」という声が聞こえてきそうなので具体例を。プロジェクト管理ツールで知られる Linear が Rolldown を導入したところ、ビルド時間が 46秒 → 6秒 に短縮されたそうです。

…87%短縮。約8分の1。CI が一日に何十回も回る現場で、この差は効きます。正直、最初にこの数字を見たとき「盛ってない?」と疑いました。でも単一バンドラ統合 + Rust ネイティブと聞いて、まあそれなら、と納得しました。

業界の地殻変動も

ビジネス面でも動きがありました。Rolldown や Vite を擁する VoidZero を、なんと Cloudflare が買収( 2026年6月4日 )。フロントエンドのビルドツール周りが、CDN/エッジの巨人の傘下に入ったわけです。これが今後どう転ぶのか、個人的にすごく気になっています。

5. Chrome V8ゼロデイ(CVE-2026-11645)― 対応期限、今日です

最後に、もう一度ギアを上げます。今日いちばん「今すぐやって」と言いたいやつです。 CVE-2026-11645 、Chrome の JavaScript エンジン V8 に見つかったゼロデイ脆弱性です。

何が起きるの?

怖いのは攻撃のハードルの低さです。 細工された HTML を開くだけ で、Chrome のサンドボックス内で任意のコードを実行されてしまう可能性があります。怪しいファイルをダウンロードして実行、とかではなく、ただページを「開く」だけ。CVSS スコアは 8.8 、堂々の「High」です。

そして「今日が期限」

ここが本題。米国の CISA(サイバーセキュリティ・インフラセキュリティ庁)が、これを既知の悪用脆弱性カタログ KEV に登録していて、その対応期限が—— 2026年6月23日、つまり本日 なんです。

KEV に載るということは「すでに実際の攻撃で悪用されている」という意味です。理論上の話ではなく、現に使われている。だから期限も待ったなし。

やることはシンプル

修正版は 149.0.7827.102 以降 。Chrome を開いて、メニューから更新を確認 → ダウンロードされたら 再起動 。これだけです。アップデートは適用しただけではダメで、再起動して初めて有効になる点だけ注意してください。「更新ボタン押したから安心」で閉じずに、ちゃんと再起動まで。

盲点:Slack も VS Code も Discord も「Chrome」です

そして、ここが見落としがちなポイント。 Electron 製のアプリ も同じ V8 を内部に抱えています。具体的には Slack・VS Code・Discord など。ブラウザの Chrome だけ更新して満足していると、デスクトップアプリ経由で穴が残ったまま、という事態になりかねません。

「Chrome は更新した、よし」で終わらせず、普段使っている Electron アプリも一通りアップデートをかけておきましょう。地味だけど、ここを忘れると片手落ちです。

まとめ ― 今日やる「ひとつだけ」を選ぶなら

駆け足でしたが、5本まとめると今日はこんな日でした。

  • Chrome V8ゼロデイ(CVE-2026-11645) :対応期限が今日。実際に悪用されている。Chrome と Electron アプリを更新して再起動。 最優先。
  • CIFSwitch(CVE-2026-46243) :19年潜んだ Linux の特権昇格。PoC 公開済み。SMB を使うサーバー運用者は要対応。
  • systemd v261 :クラウド対応・OSインストーラーまで取り込み、もはや統合プラットフォーム。フォーク騒動つき。
  • Linux 7.2 exFAT の iomap 移行 :USB/SD の転送が速くなる、縁の下の改善。
  • Rolldown 1.0 :Vite 8 のデフォルトに。Rust 製単一バンドラで Linear は 46秒→6秒。

もし「今日は時間がない、ひとつだけ」と言われたら、迷わず Chrome(と Electron アプリ)のアップデート です。期限は今日、攻撃は現在進行形。これだけは、このページを閉じる前にやっちゃってください。

それでは、また次回。皆さんの環境が穏やかでありますように。

参考文献

© 2022 - 2026 Copyright(c) 2022-2025 SATO Daisuke. All rights reserved.
Hugo で構築されています。
テーマ StackJimmy によって設計されています。