Google は14日、Web ブラウザ『Google Chrome』の『Linux』『Mac』『Windows』各版について、安定版を更新し、少なくとも9件のセキュリティ脆弱性に対応した。新版の『Chrome 6.0.472.59』において、Google が最も脅威の深刻度が高いと判断した深刻度「クリティカル」の脆弱性は1件のみだったが、次に深刻度が高い「高」の脆弱性は6件あった。
ここで各 Web ブラウザの開発状況を簡単に見てみると、Google は次期ブラウザ『Chrome 7』の開発を進めており、また、 Mozilla の『Firefox』や Microsoft の『Internet Explorer』といった競合製品も、次世代の Web ブラウザを完成させようと競い合っている。
Chrome 6.0.472.59 における唯一の「クリティカル」な脆弱性は、Mac 版 Chrome にのみ影響する。本稿執筆時において、Google は脆弱性の詳細を公表していない。
Google が大きな影響をもたらす可能性があると判断した脆弱性のうち5件については、「kuzzcc」という名で活動しているセキュリティ研究者の報告によるものだという。Google には、セキュリティ上の問題を報告した研究者に報奨金を支払うプログラム『Chromium Security Award』がある。その一環として、Google は今回 kuzzcc 氏に脆弱性発見の報奨金総額2,500ドルを贈ると述べた。
Google によると、Kuzzcc 氏は Chrome のジオロケーション機能におけるメモリ破壊の問題と、コンソールのハンドリングにおける競合状態 (イベント配列に関するエラー) を報告したという。
さらに kuzzcc 氏は SVG のグラフィックスタイルおよびエレメントにおける解放後使用に関する問題を2件報告した。攻撃者がこれらの脆弱性を悪用してメモリを不正に使用し、攻撃を仕掛けるおそれがあったという。『Microsoft Vulnerability Research』の David Weston 氏と、「wushi」という名のセキュリティ研究者も、構文解析中のドキュメント API に関係するメモリ解放後使用の問題を発見したとされている。
【関連記事】
検索エンジン『Bing』が米国市場で Yahoo! を抜き2位に
チェック?ポイント、メディア暗号化製品で情報セキュリティ国際評価基準の EAL4+を取得
JS3、「eToken」に対応のプライベート認証局製品を販売
マカフィー、「デジタルミュージック&ムービーに潜む危険性」レポートを発表
「Here You Have」スパムの流行が終息へ
引用元:Reign of Revolution 情報局
