グーグル、「Chrome」の重大なセキュリティホールを修正

文:Stephen Shankland(CNET News.com) 翻訳校正:編集部

2009-04-24 13:07

 Googleは米国時間4月23日、同社のブラウザ「Chrome」の新バージョンをリリースした。非常に重大なセキュリティ脆弱性が修正されている。

 同脆弱性は、Google Chromeの安定版に関連するもので、新バージョン1.0.154.59において修正されている。Chromeは、ユーザーの介入なしで自動アップデートするように構築されているが、新バージョンを稼働させるには再起動が必要である。

 IBM Rational Application Security Research GroupのRoi Saltzman氏が4月8日に報告した今回のセキュリティ脆弱性は、クロスサイトスクリプティング攻撃を可能とするものである。ウェブブラウザにJavaScriptなどの権限のないコードを処理させることにより、なりすましやフィッシングといったさまざまな攻撃が可能となる。

 Google ChromeプログラムマネージャーであるMark Larson氏は23日付けのブログ投稿で、この脆弱性について次のように説明している。

 「ChromeHTMLプロトコルの処理に誤りがあり、攻撃者が任意のページ上でスクリプトを実行したり、特定の条件下でローカルディスク上のファイル数を確認したりすることが可能となる恐れがある」

 Google Chromeをインストールしているユーザーが、攻撃者に細工されたウェブページをInternet Explorerで訪問すると、Google Chromeが起動し、複数のタブが開いてスクリプトがロードされる。その後、攻撃者が指定したURLへと誘導され、スクリプトが実行される可能性がある。この攻撃は、Chromeが既に起動中でない場合に限り、可能である。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]