OpenAIが「GPT-5.5」を発表／GeminiのチャットでWordやExcel、PDFファイルなどを生成可能に：週末の「気になるニュース」一気読み！（3/3 ページ）

「Google Chrome 147」に修正版　複数の脆弱性に対応

　Googleは4月28日、デスクトップ向け「Google Chrome ブラウザ」の最新版を公開した。

　このアップデートでは、計30件の脆弱性が修正されている。このうち、以下の4件の脆弱性が深刻度「Critical」と評価されている。

• CVE-2026-7363：Use after free in Canvas
• CVE-2026-7361：Use after free in iOS
• CVE-2026-7344：Use after free in Accessibility
• CVE-2026-7343：Use after free in Views

　既にインストールされている場合は順次自動更新されるが、Chromeのメニューから「ヘルプ」→「Google Chromeについて」を選択することで、手動更新も可能だ。

OpenAIのコーディングエージェント「Codex」に脆弱性

　トレンドマイクロ傘下の脆弱性発見プログラム「Zero Day Initiative」（ZDI）は4月28日、OpenAIのコーディングエージェント「Codex」にサンドボックスを回避できる脆弱性が存在するとして、ゼロデイ・アドバイザリ「ZDI-26-305」を公開した。CVSSスコアは8.6（High）で、CVE IDは未割り当てだ。

　脆弱性はCodexのJavaScript実行環境に存在し、サンドボックス化されたコンテキストの分離が不十分であることに起因する。攻撃者は悪意あるJavaScriptを含むリポジトリをCodexに処理させることで、サンドボックスによる隔離を迂回（うかい）し、現在のユーザー権限でコードを実行できる。攻撃には標的ユーザーがCodexで該当リポジトリを処理するというユーザー操作が必要となるという。

　ZDIは、この脆弱性を2月24日にOpenAIへ報告していた。OpenAI側も4月6日に再現を確認したが、4月13日に「自社のバグ報奨金プログラムの対象外」として修正を拒否し、「デフォルトの状態で利用される製品の機能範囲には該当しない」との見解を示した。

　ZDIは報奨金を受け取らない旨を伝えて修正予定日を尋ねたが、回答が得られなかったため、4月17日にゼロデイとしての公開を通告。28日に予告通り公表に踏み切ったという。

　修正パッチは現時点で提供されておらず、ZDIは緩和策として「製品との対話を制限すること」のみを挙げている。