2008年09月12日(金) 18時46分

Google Chrome 重大な脆弱性が発見される、ドイツ政府は「使用に適さない」と勧告（Scan）

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

----

　鳴り物入りで発表された新しいGoogleのブラウザ、Chromeだが、好調なスタートとは言えないニュースが次々と入っている。ベトナムのセキュリティ企業であるSVRT-Bkis社は、Google Chromeにリモートからのシステムの乗っ取りができる重要な脆弱性を発見した。

　その脆弱性は「ハッカーがリモートでコードの実行を行うことで、Chromeの動作しているシステムの完璧な乗っ取りができる」もので、バッファオーバーフローの脆弱性だ。

　これは、Chromeの「SaveAs」ファンクションのバンダリーエラーが原因で、タイトルが長い悪意のあるページをセーブしようとすると、プログラムがスタックベースのオーバーフローを起こして、リモートからのコード実行が可能となってしまう。

　Goggleではすぐにパッチをリリースしてこれに対処しているため、0.2.149.27のバージョンをダウンロードした人は、0.2.149.29にアップデートする必要がある。

　一方Chrome発表の3日後に、ドイツの連邦情報技術安全局 のBSI(Bundesamt fur Sicherheit in der Informationstechnik) のスポークスマンであるMatthias Gartner氏が、「(Google Chromeは)一般の使用には適さない」という勧告を発している。

　BSIはウィキペディアによると、「ドイツ政府のコンピュータアプリケーションのセキュリティ、重要インフラ (critical-infrastructure) の保護対策、インターネットセキュリティ、暗号、盗聴対策、セキュリティ製品の認証、およびセキュリティ評価機関 (test lab) の認定を、専門分野および責任範囲としている」組織。一般消費者のデータ・セキュリティの保護も積極的に行っている点では、他の国に比べられる組織は存在しない。BSIのホームページにもBSIは「我々の社会のセキュリティの任務」を持っていると書いてある。

　そのBSIのスポークスマンは、ドイツの大手新聞であるBerliner Zeitung紙に、「Googleが収集できるデータを鑑みると、（個人情報の）安全にとっては非常に危険」であり「Chromeは一般市民の使用に使われるべきでない」と述べている。

　問題となっているのは、Googleによる個人情報の収集だ。ChromeのCookieとサーチのフレーズはGoogleに送られる。つまり、Omniboxにタイプされたキーストロークは全て、Googleに送られてしまう。それだけでなく、集めた情報の2％は、IPアドレスと共に保管される。

　GoogleはChromeの利用規約を即座に一部修正した。これは日本でも伝わっている。また、どのサーチエンジンも…

【執筆：米国　笠原利香】

【関連リンク】
・ SVRT-Bkis社 Security blog
・ Berliner Zeitung紙記事

http://headlines.yahoo.co.jp/hl?a=20080912-00000008-vgb-secu