2009年9月、GoogleがInternet Explorerユーザー向けにGoogle Chrome Frameプラグインをリリースした際、Microsoftはこのような試みは攻撃対象領域を増やし、IEユーザーの安全性を損なうものだと、ただちに警告した。
そして、今度はMicrosoft Vulnerability Research(MSVR)のセキュリティ研究者から、攻撃者が複数の生成元がある場合の保護手段を迂回することのできる「高リスク」の脆弱性を発見したという報告があった。
深刻度:高。攻撃者は複数の生成元がある場合の保護を迂回できる可能性があった。この問題は重要ではあるものの、深刻度「高」の問題は、ユーザーのマシンを永続的にマルウェアに感染させることはない。われわれはこの問題が悪用された事例があるとは承知していない。
Googleはこの脆弱性を修正したGoogle Chrome Frameの新バージョン(バージョン4.0.245.1)を公開した。
このプラグインのアップデートでは、いくつかのバグが修正されている。
- ネットワークへの要求が無作為に失敗する(Issue 27401)
- CFInstall.jsの複数の問題を修正し、互換性のあるOSとブラウザのバージョンの検知を改良し、ユーザーがフレームのインストールをキャンセルすることが出来るようにし、isAvailableの結果をキャッシュしないようにした(Issue 22738、23057、23132)
- frameやiframeにGoogle Chrome Frameが使用されない(Issue 22989)
- リダイレクトに正しく従うようにする(Issue 25643)
- IE8が断続的にフリーズする(Issue 24007)
- アンインストール時にデータディレクトリを削除する(Issue 27483)
Google ChromeチームのメンバーMark Larson氏は、「すべてのユーザーは自動的にアップデートを受ける」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
