グーグル、「Chrome」の重大なセキュリティホールを修正

　Googleは米国時間4月23日、同社のブラウザ「Chrome」の新バージョンをリリースした。非常に重大なセキュリティ脆弱性が修正されている。

　同脆弱性は、Google Chromeの安定版に関連するもので、新バージョン1.0.154.59において修正されている。Chromeは、ユーザーの介入なしで自動アップデートするように構築されているが、新バージョンを稼働させるには再起動が必要である。

　IBM Rational Application Security Research GroupのRoi Saltzman氏が4月8日に報告した今回のセキュリティ脆弱性は、クロスサイトスクリプティング攻撃を可能とするものである。ウェブブラウザにJavaScriptなどの権限のないコードを処理させることにより、なりすましやフィッシングといったさまざまな攻撃が可能となる。

　Google ChromeプログラムマネージャーであるMark Larson氏は23日付けのブログ投稿で、この脆弱性について次のように説明している。

　「ChromeHTMLプロトコルの処理に誤りがあり、攻撃者が任意のページ上でスクリプトを実行したり、特定の条件下でローカルディスク上のファイル数を確認したりすることが可能となる恐れがある」

　Google Chromeをインストールしているユーザーが、攻撃者に細工されたウェブページをInternet Explorerで訪問すると、Google Chromeが起動し、複数のタブが開いてスクリプトがロードされる。その後、攻撃者が指定したURLへと誘導され、スクリプトが実行される可能性がある。この攻撃は、Chromeが既に起動中でない場合に限り、可能である。