この2週間で2度目となるが、Googleは同社のブラウザChromeの新しいバージョンを公開し、2件の深刻なセキュリティホールを修正した。
2件のセキュリティホールのうち1つには、ログオンしているユーザーの特権でコードを実行される危険があり、「緊急」にレーティングされている。
(参照:Internet Explorer + Google Chrome = security problem)
詳細については、このアドバイザリに説明されている。
- CVE-2009-1441: 緊急。レンダラー(タブ)プロセスからの入力を適切に検証しておらず、攻撃者がブラウザをクラッシュさせ、ログオンしているユーザーの特権で任意のコードを実行できる可能性がある。この脆弱性を利用するためには、攻撃者はレンダラープロセスの内部で任意のコードを実行できる必要がある。
- CVE-2009-1442:高リスク。画像サイズを計算する際に、整数の乗算結果をチェックしておらず、特別に作成された画像やcanvasを用いることで、タブをクラッシュさせることができ、またこのことによって攻撃者が(サンドボックス内の)レンダラープロセスの内部で任意のコードを実行できる可能性がある。
Google Chromeのリリースはサイレントアップデートで行われている。これは、ユーザーが知らない間に、ブラウザが自らパッチを適用しているということだ。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
