SCAN DISPATCH :Google Chrome 重大な脆弱性が発見される、ドイツ政府は「使用に適さない」と勧告
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
鳴り物入りで発表された新しいGoogleのブラウザ、Chromeだが、好調なスタートとは言えないニュースが次々と入っている。ベトナムのセキュリティ企業であるSVRT-Bkis社は、Google Chromeにリモートからのシステムの乗っ取りができる重要な脆弱性を発見した。
その脆弱性は「ハッカーがリモートでコードの実行を行うことで、Chromeの動作しているシステムの完璧な乗っ取りができる」もので、バッファオーバーフローの脆弱性だ。
これは、Chromeの「SaveAs」ファンクションのバンダリーエラーが原因で、タイトルが長い悪意のあるページをセーブしようとすると、プログラムがスタックベースのオーバーフローを起こして、リモートからのコード実行が可能となってしまう。
Goggleではすぐにパッチをリリースしてこれに対処しているため、0.2.149.27のバージョンをダウンロードした人は、0.2.149.29にアップデートする必要がある。
一方Chrome発表の3日後に、ドイツの連邦情報技術安全局 のBSI(Bundesamt fur Sicherheit in der Informationstechnik) のスポークスマンであるMatthias Gartner氏が、「(Google Chromeは)一般の使用には適さない」という勧告を発している。
BSIはウィキペディアによると、「ドイツ政府のコンピュータアプリケーションのセキュリティ、重要インフラ (critical-infrastructure) の保護対策、インターネットセキュリティ、暗号、盗聴対策、セキュリティ製品の認証、およびセキュリティ評価機関 (test lab) の認定を、専門分野および責任範囲としている」組織。一般消費者のデータ・セキュリティの保護も積極的に行っている点では、他の国に比べられる組織は存在しない。BSIのホームページにもBSIは「我々の社会のセキュリティの任務」を持っていると書いてある。
そのBSIのスポークスマンは、ドイツの大手新聞であるBerliner Zeitung紙に、「Googleが収集できるデータを鑑みると、(個人情報の)安全にとっては非常に危険」であり「Chromeは一般市民の使用に使われるべきでない」と述べている。
問題となっているのは、Googleによる個人情報の収集だ。ChromeのCookieとサーチのフレーズはGoogleに送られる。つまり、Omniboxにタイプされたキーストロークは全て、Googleに送られてしまう。それだけでなく、集めた情報の2%は、IPアドレスと共に保管される。
GoogleはChromeの利用規約を即座に一部修正した。これは日本でも伝わっている。また、どのサーチエンジンも…
【執筆:米国 笠原利香】
【関連リンク】
SVRT-Bkis社 Security blog
http://security.bkis.vn/?p=119
Berliner Zeitung紙記事
http://www.berlinonline.de/berliner-zeitung/archiv/.bin/dump.fcgi/2008/0906/wirtschaft/0024/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》
