記事登録
2008年09月04日(木) 12時02分

Google Chromeに早くも複数の脆弱性ITmediaエンタープライズ

 米Googleがβ版をリリースしたばかりの新ブラウザ「Google Chrome」に、早くも脆弱性の報告が相次いでいる。US-CERTは9月3日、Google Chromeはデフォルトで、ユーザーに警告することなくファイルをダウンロードしてしまう脆弱性があると報告。また、すべてのタブがクラッシュしてしまう別の脆弱性も見つかっている。

【「Google Chrome」 最新記事一覧】

 US-CERTによると、Google Chromeではダウンロードしたファイルをワンクリックで開くことができるため、ユーザーがうっかり悪質なファイルを開いてしまう恐れがある。この脆弱性を発見したセキュリティ研究者のアビブ・ラフ氏によれば、原因はGoogle Chromeが古いバージョンのWebKit 525.13を使っていることにある。これは、「じゅうたん爆撃」の脆弱性があった米AppleのSafari 3.1が使っていたのと同じWebKitエンジンだという。

 Safariの脆弱性はバージョン3.1.2で修正済みだが、Google ChromeはSafari 3.1のレンダリングエンジンを利用したため、脆弱性が残った形だという。「Google ChromeはSafariやFirefoxなど、ほかのブラウザの機能を取り入れて“ごた混ぜ”にしているが、セキュリティ上の観点からこれは非常に問題だ」とラフ氏は指摘。この脆弱性を突いたコンセプト実証(PoC)コードも公開した。

 US-CERTはこの問題の回避策として、Google Chromeのプリフェレンスの「Minor Tweaks」タブで「Ask where to save each file before downloading」(ファイルをダウンロードする前に保存場所を尋ねる)のオプションを有効にするよう勧告している。これで脆弱性そのものが解消されるわけではないが、ファイルをダウンロードする前に警告が表示されるようになるとしている。

 一方、別のセキュリティ研究者リシ・ナラング氏は情報セキュリティブログのEvilFingers.comで、すべてのタブがクラッシュしてしまう脆弱性について報告した。細工を施した悪質なサイトを閲覧すると、ユーザーが何もしなくてもChromeがクラッシュし、「Whoa! Google Chrome has crashed. Restart now?」というメッセージが表示されるという。ナラング氏もコンセプト実証コードを公開している。

【関連記事】
→ 「Google」 最新記事一覧
→ 「脆弱性」 最新記事一覧
Google Chrome初心者のためのワンポイントアドバイス
[WSJ] Google ChromeとIE 8はどう違うのか
「V8」エンジンに込めた高速化の願い、Google Chromeの狙いとは

http://headlines.yahoo.co.jp/hl?a=20080904-00000040-zdn_ep-sci

最新のニュース記事一覧
お問い合わせ