【 ここから本文 】

ウイルス/ワーム/スパム対策

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[米国]
Google Chromeに早くもセキュリティ不安――研究者が複数の脆弱性を指摘

ファイルのダウンロードに注意。悪意あるコードを勝手に実行してしまう可能性も

(2008年09月04日)

 米国Googleが、新ブラウザ「Google Chrome」のベータ版をリリースして一夜明けた9月3日、セキュリティ研究者たちから早くも複数の脆弱性を指摘されている。その1つは、ブラウザがクラッシュしてしまう可能性があるというものだ。

セキュリティ研究者のリシ・ナラン氏がSecuriTeamで公開したGoogle Chromeの脆弱性に関する報告のサマリー

 セキュリティ研究者のリシ・ナラン(Rishi Narang)氏は、この問題をイスラエルのセキュリティ専門組織「SecuriTeam」のWebサイトに紹介するとともに、情報セキュリティ関連のコミュニティー・サイト「Evilfingers」でもそのコンセプトを証明している。ナラン氏によると、ハッカーは未定義のハンドラに特殊な文字を続けた悪意あるリンクを作成でき、ユーザーがそのリンクをクリックするとChromeがクラッシュするとのことだ。

 さらに深刻な別の脆弱性では、ユーザーが悪意あるコードをダウンロードしてしまう可能性があるという。原因の1つは、Chromeが米国AppleのWebブラウザ「Safari」にも採用されているオープンソースのブラウザ技術「WebKit」の古いバージョンを採用していることにある。つまり、WebKitの脆弱性がそのままChromeに引き継がれたというわけだ。

 この問題はセキュリティ研究者のアビブ・ラフ(Aviv Raff)氏により発見された。同氏によると、Chromeがファイルをダウンロードする方法と、Windowsがそのダウンロード・ファイルを処理する方法の双方に問題があるという。

 Chromeのデフォルト設定では、ファイルはフォルダにダウンロードされる。その後、ブラウザのページ下にダウンロード・バーが表示される。ユーザーはそのバーをクリックしてファイルを開く。実行ファイルの場合、Windowsはユーザーが誤って悪意あるコードをダウンロードしないよう警告を表示する。

 だが、ファイルがJAR(Java Archive)の場合は、他の実行ファイルとは処理の仕方が異なるため、ユーザーがダウンロード・バーをクリックすると、Windowsは警告を表示することなくファイルを勝手に実行してしまうという。

 加えて、Chromeのダウンロード・バーがWebページの一部のように見えることも問題をさらに悪化させているとラフ氏は指摘している。ラフ氏が証明したコンセプトによれば、ユーザーがダウンロードしたファイルを開いているのでなく、ページ上のリンクやボタンをクリックしていると勘違いする可能性があるという。

 「いわゆる『複合脅威』というやつだ。別々のソフトウェアに潜む2つの小さな問題が混じり合い、より大きな問題を生むのである」(同氏のブログより)

 Chromeは、AppleのSafariや米国Mozillaの「Firefox」など、他のブラウザの技術を流用していることを考えれば、今後も同様の問題が生じるかもしれないとラフ氏は警告する。

 「セキュリティ上、非常に重大な問題だ。Googleはそれぞれの技術の脆弱性をすべて追跡したうえで、Chromeにも修正を加える必要がある。だが、それができるのは他のベンダーが脆弱性を修正するか、あるいは公表したあとだ。つまり、その間、Chromeユーザーは長きにわたってリスクにさらされることになる」(同氏のブログより)

 こうした問題を防ぐために、Chromeに修正を加える予定があるかどうかについて、Googleは現時点で明確なコメントを示していない。ちなみに、同社広報担当者の声明によると、Chromeのデフォルト設定では、セキュリティの問題を避けるために、ダウンロード・ファイルはユーザーのデスクトップではなく別のフォルダに保存するようにしているという。また、ダウンロードする前に保存先を聞くように設定を変更できるとしている。

 また、Chromeが採用しているWebKitをアップグレードする予定があるかどうかについてもGoogleは明言を避けている。WebKitの最新バージョンでは、JARファイルをダウンロードする場合、ダイアログ・ボックスを表示してユーザーに確認することで、ファイルが勝手に実行されないよう対策が講じられている。

(Nancy Gohring/IDG News Serviceシアトル支局)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/25〜12/01

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国