米Google、デスクトップ向けの「Chrome 57」安定版公開 36件の問題を修正
最新版の「Chrome 57.0.2987.98」では、計36件のセキュリティ問題を修正した。
米Googleは、Webブラウザ安定版のアップデートとなる「Chrome 57」を3月9日付でWindows、Mac、Linux向けに公開した。
Googleのブログによると、最新版の「Chrome 57.0.2987.98」では計36件のセキュリティ問題を修正した。外部の研究者から情報が寄せられた脆弱性も多数を占める。
そのうち、危険度が同社の4段階評価で上から2番目に高い「高」に分類された脆弱性は9件。中でも「V8におけるメモリ破損」の脆弱性を発見した研究者には7500ドル、「ANGLEにおける解放後使用」問題の発見者には5000ドルの賞金がそれぞれ贈呈された。
他にもPDFiumに存在する境界外書き込みや解放後使用、libxsltの整数オーバーフローといった脆弱性が危険度「高」に指定され、発見者に500〜3000ドルの賞金が贈呈されている。こうした脆弱性を悪用されれば、一定の条件の下で攻撃者に任意のコードを実行されるなどの恐れがある。
脆弱性情報に賞金をかける制度は2010年に導入された。Googleによれば、危険度の高い脆弱性は発見が難しくなり、研究者が費やす時間も増えているといい、2017年3月からは、最も危険度が高い任意のコード実行の脆弱性を発見した研究者に支払う賞金の上限を、これまでの2万ドルから3万1337ドルに引き上げている。
情報を寄せた研究者を国別にみると、2016年は中国が激増し、米国を抜いてトップに立った。米国は2位に後退する一方、3位のインドからの報告も増えている。
関連記事
- 「Chrome 56」の安定版リリース リロードが28%高速化、HTTPでの警告を追加
Googleがデスクトップ版Chromeをバージョン56にアップデートした。特にFacebookで時間のかかっていたページのリロードが28%高速化し、Firefox 51と同様のHTTPページでの警告が追加された。 - Google、2017年1月公開の「Chrome 56」でSHA-1対応を完全廃止
2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切る。 - SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開
GoogleはSHA-1ハッシュが同じでコンテンツが異なる2つのPDFも公表した。90日後には、こうしたPDFを生成するためのコードを公開するとも予告している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.