脆弱性にもサンドボックスモデルが有効
Chrome 2.0正式版登場、グーグルは安全性も強調
2009/05/22
グーグルは5月22日、オープンソースベースのWebブラウザの最新版「Google Chrome 2.0正式版」をリリースした。Windows XP/Vista対応版を同社のWebサイトからダウンロードできるほか、インストール済みのChromeは自動アップデートされる。同社は2008年9月に初めてのChromeベータ版をリリースしてから、約3カ月でバージョン1.0正式版を出し、さらにその後5カ月強でバージョン2.0を出したことになる。
グーグル シニアプロダクトマネージャー 及川卓也氏Chrome 2.0のChrome 1.0からの機能強化・追加は以下の通り。
- JavaScriptエンジン「V8」の高速化。JavaScriptを多用するページでは1.0に比べて30%高速化しているという
- フォームのオートフィル機能を実装
- プロキシ設定を自動化するPACファイル対応
- 新規タブを開いたときに表示されるサムネイルの編集機能
- プレゼンテーション時などに使えるフルスクリーン表示機能
同日に東京都内で会見したグーグル シニアプロダクトマネージャー 及川卓也氏は、速度や機能強化に合わせてChromeの安全性を改めて強調した。
ChromeやWebKitには、これまでいくつかクリティカルな脆弱性が報告されている。例えば、4月19日に報告されたグラフィックライブラリのSkiaにあった脆弱性は、画像サイズの計算時に整数値のオーバーフローをチェックしておらず、このため簡単なスクリプトを書くことで任意のコードを実行できてしまう、というものだった。
こうした脆弱性は、通常はトロイの木馬などWeb経由で感染するタイプのマルウェアの入り口となるケースが多い。しかし及川氏によれば、Chromeでは2つの理由から、このような危険な脆弱性でもChromeは一定の安全性を保てるという。
1つはChromeのタブがサンドボックス環境となっていること。各タブは、独立したプロセスとしてそれぞれが“閉じた環境”で動いているため、たとえタブを乗っ取られてもWindowsのシステムディレクトリや、ほかのタブに対して悪影響を及ぼすことがないという。「システムへの書き込みができないので、攻撃者はローカルPCを攻撃できない」(及川氏)。
また、Chromeではセキュリティパッチやバージョンアップといった更新作業を自動で行うため、ユーザーがブラウザやOSを再起動すれば、最新のバージョンとなっている。こうしたことから、脆弱性が発見されてから、ユーザーがパッチを適用するまでの期間が短く、攻撃者が脆弱性を悪用することが難しい。「長くても数日の間にほとんどのユーザーが最新版にアップデートしている」(及川氏)。
関連リンク
関連記事
情報をお寄せください:
- Flashを閃光のごとく高速化するための基礎知識 (2010/3/9)
Flash高速化のための基礎知識や実践的テクニックを紹介する連載。初回は“処理負荷”を調べる具体的な方法を解説します - Windows 7でどんだけ“おばか”なアプリが作れるの? (2010/3/4)
おばかの発想の源やアプリの作り方などについて、おばかアプリ選手権の歴戦の受賞者や、マイクロソフトの代表者に話を伺った。アイデアのご参考に - APIでGoogleスプレッドシートの追加/更新/削除 (2010/2/24)
ワークシートの追加・削除、メタ情報の更新、行単位でのデータの追加・更新・削除する方法を徹底解説します - おばかアプリ図鑑 (2010/2/19)
「おばかアプリ」「おばかアプリ選手権」とは何かを解説し、これまでの選手権で登場したアプリたちを、カタログ形式で五十音順に紹介しよう。今後の参考にしてほしい
 |
|
|
|
|
- PowerShell 2.0で始めるWindowsシステム管理
- natテーブルを利用したLinuxルータの作成・2
- ERPの“事業仕訳け”でIT予算をもっと有効に!
- 調査の難しい「OutOfMemoryError」事例、5選
- 組み込みシステム開発における“モデル”とは?
- 西和彦、ビル・ゲイツに会う
- 「事業仕分け」「修正予算」って何?国家予算の全体像
- IT業界職種カタログ(8)ITエデュケーション
- .NET TIPS - .NET開発のテクニックとヒント集 -
- Hyper-Vライブ・マイグレーションの運用ノウハウ
- 構造体の便利な用途、インターフェイス入門
- 3人中2人が間違える!? 片持ちばりの計算をしよう
スポンサーからのお知らせ
- - PR -
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 New! |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
.NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
お勧め求人情報
**先週の人気講座ランキング**
〜Java編〜
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 直属上司が海外にいるのエンジニアに見る 【実例】場所に捉われないワークスタイル |
| ◆ | 「仮想化工房」のマイスターが選んだのは VMware、Hyper-V、そしてVirtageだった! |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。