SCAN DISPATCH :Google Chrome 重大な脆弱性が発見される、ドイツ政府は「使用に適さない」と勧告 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

SCAN DISPATCH :Google Chrome 重大な脆弱性が発見される、ドイツ政府は「使用に適さない」と勧告

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 鳴り物入りで発表された新しいGoogleのブラウザ、Chromeだが、好調なスタートとは言えないニュースが次々と入っている。ベトナムのセキュリティ企業であるSVRT-Bkis社は、Google Chromeにリモートからのシステムの乗っ取りができる重要な脆弱性を発見した。

 その脆弱性は「ハッカーがリモートでコードの実行を行うことで、Chromeの動作しているシステムの完璧な乗っ取りができる」もので、バッファオーバーフローの脆弱性だ。

 これは、Chromeの「SaveAs」ファンクションのバンダリーエラーが原因で、タイトルが長い悪意のあるページをセーブしようとすると、プログラムがスタックベースのオーバーフローを起こして、リモートからのコード実行が可能となってしまう。

 Goggleではすぐにパッチをリリースしてこれに対処しているため、0.2.149.27のバージョンをダウンロードした人は、0.2.149.29にアップデートする必要がある。

 一方Chrome発表の3日後に、ドイツの連邦情報技術安全局 のBSI(Bundesamt fur Sicherheit in der Informationstechnik) のスポークスマンであるMatthias Gartner氏が、「(Google Chromeは)一般の使用には適さない」という勧告を発している。

 BSIはウィキペディアによると、「ドイツ政府のコンピュータアプリケーションのセキュリティ、重要インフラ (critical-infrastructure) の保護対策、インターネットセキュリティ、暗号、盗聴対策、セキュリティ製品の認証、およびセキュリティ評価機関 (test lab) の認定を、専門分野および責任範囲としている」組織。一般消費者のデータ・セキュリティの保護も積極的に行っている点では、他の国に比べられる組織は存在しない。BSIのホームページにもBSIは「我々の社会のセキュリティの任務」を持っていると書いてある。

 そのBSIのスポークスマンは、ドイツの大手新聞であるBerliner Zeitung紙に、「Googleが収集できるデータを鑑みると、(個人情報の)安全にとっては非常に危険」であり「Chromeは一般市民の使用に使われるべきでない」と述べている。

 問題となっているのは、Googleによる個人情報の収集だ。ChromeのCookieとサーチのフレーズはGoogleに送られる。つまり、Omniboxにタイプされたキーストロークは全て、Googleに送られてしまう。それだけでなく、集めた情報の2%は、IPアドレスと共に保管される。

 GoogleはChromeの利用規約を即座に一部修正した。これは日本でも伝わっている。また、どのサーチエンジンも…

【執筆:米国 笠原利香】

【関連リンク】
SVRT-Bkis社 Security blog
http://security.bkis.vn/?p=119
Berliner Zeitung紙記事
http://www.berlinonline.de/berliner-zeitung/archiv/.bin/dump.fcgi/2008/0906/wirtschaft/0024/index.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. SMSによる二要素認証が招くSOS(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×