SCAN DISPATCH ：Google Chrome 重大な脆弱性が発見される、ドイツ政府は「使用に適さない」と勧告

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　鳴り物入りで発表された新しいGoogleのブラウザ、Chromeだが、好調なスタートとは言えないニュースが次々と入っている。ベトナムのセキュリティ企業であるSVRT-Bkis社は、Google Chromeにリモートからのシステムの乗っ取りができる重要な脆弱性を発見した。

　その脆弱性は「ハッカーがリモートでコードの実行を行うことで、Chromeの動作しているシステムの完璧な乗っ取りができる」もので、バッファオーバーフローの脆弱性だ。

　これは、Chromeの「SaveAs」ファンクションのバンダリーエラーが原因で、タイトルが長い悪意のあるページをセーブしようとすると、プログラムがスタックベースのオーバーフローを起こして、リモートからのコード実行が可能となってしまう。

　Goggleではすぐにパッチをリリースしてこれに対処しているため、0.2.149.27のバージョンをダウンロードした人は、0.2.149.29にアップデートする必要がある。

　一方Chrome発表の3日後に、ドイツの連邦情報技術安全局のBSI(Bundesamt fur Sicherheit in der Informationstechnik) のスポークスマンであるMatthias Gartner氏が、「(Google Chromeは)一般の使用には適さない」という勧告を発している。

　BSIはウィキペディアによると、「ドイツ政府のコンピュータアプリケーションのセキュリティ、重要インフラ (critical-infrastructure) の保護対策、インターネットセキュリティ、暗号、盗聴対策、セキュリティ製品の認証、およびセキュリティ評価機関 (test lab) の認定を、専門分野および責任範囲としている」組織。一般消費者のデータ・セキュリティの保護も積極的に行っている点では、他の国に比べられる組織は存在しない。BSIのホームページにもBSIは「我々の社会のセキュリティの任務」を持っていると書いてある。

　そのBSIのスポークスマンは、ドイツの大手新聞であるBerliner Zeitung紙に、「Googleが収集できるデータを鑑みると、（個人情報の）安全にとっては非常に危険」であり「Chromeは一般市民の使用に使われるべきでない」と述べている。

　問題となっているのは、Googleによる個人情報の収集だ。ChromeのCookieとサーチのフレーズはGoogleに送られる。つまり、Omniboxにタイプされたキーストロークは全て、Googleに送られてしまう。それだけでなく、集めた情報の2％は、IPアドレスと共に保管される。

　GoogleはChromeの利用規約を即座に一部修正した。これは日本でも伝わっている。また、どのサーチエンジンも…

【執筆：米国　笠原利香】

【関連リンク】
SVRT-Bkis社 Security blog
http://security.bkis.vn/?p=119
Berliner Zeitung紙記事
http://www.berlinonline.de/berliner-zeitung/archiv/.bin/dump.fcgi/2008/0906/wirtschaft/0024/index.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw