【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

脆弱性にもサンドボックスモデルが有効

Chrome 2.0正式版登場、グーグルは安全性も強調

2009/05/22

 グーグルは5月22日、オープンソースベースのWebブラウザの最新版「Google Chrome 2.0正式版」をリリースした。Windows XP/Vista対応版を同社のWebサイトからダウンロードできるほか、インストール済みのChromeは自動アップデートされる。同社は2008年9月に初めてのChromeベータ版をリリースしてから、約3カ月でバージョン1.0正式版を出し、さらにその後5カ月強でバージョン2.0を出したことになる。

chrome01.jpg グーグル シニアプロダクトマネージャー 及川卓也氏

 Chrome 2.0のChrome 1.0からの機能強化・追加は以下の通り。

  • JavaScriptエンジン「V8」の高速化。JavaScriptを多用するページでは1.0に比べて30%高速化しているという
  • フォームのオートフィル機能を実装
  • プロキシ設定を自動化するPACファイル対応
  • 新規タブを開いたときに表示されるサムネイルの編集機能
  • プレゼンテーション時などに使えるフルスクリーン表示機能

 同日に東京都内で会見したグーグル シニアプロダクトマネージャー 及川卓也氏は、速度や機能強化に合わせてChromeの安全性を改めて強調した。

 ChromeやWebKitには、これまでいくつかクリティカルな脆弱性が報告されている。例えば、4月19日に報告されたグラフィックライブラリのSkiaにあった脆弱性は、画像サイズの計算時に整数値のオーバーフローをチェックしておらず、このため簡単なスクリプトを書くことで任意のコードを実行できてしまう、というものだった。

 こうした脆弱性は、通常はトロイの木馬などWeb経由で感染するタイプのマルウェアの入り口となるケースが多い。しかし及川氏によれば、Chromeでは2つの理由から、このような危険な脆弱性でもChromeは一定の安全性を保てるという。

 1つはChromeのタブがサンドボックス環境となっていること。各タブは、独立したプロセスとしてそれぞれが“閉じた環境”で動いているため、たとえタブを乗っ取られてもWindowsのシステムディレクトリや、ほかのタブに対して悪影響を及ぼすことがないという。「システムへの書き込みができないので、攻撃者はローカルPCを攻撃できない」(及川氏)。

 また、Chromeではセキュリティパッチやバージョンアップといった更新作業を自動で行うため、ユーザーがブラウザやOSを再起動すれば、最新のバージョンとなっている。こうしたことから、脆弱性が発見されてから、ユーザーがパッチを適用するまでの期間が短く、攻撃者が脆弱性を悪用することが難しい。「長くても数日の間にほとんどのユーザーが最新版にアップデートしている」(及川氏)。

関連リンク

(@IT 西村賢)

情報をお寄せください:

リッチクライアント & 帳票 フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

アイティメディアの提供サービス

ホワイトペーパー(TechTargetジャパン/閲覧には会員登録が必要です)

スキルアップ/キャリアアップ(JOB@IT)

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!

  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策

  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化

  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」

  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?

  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  直属上司が海外にいるのエンジニアに見る
【実例】場所に捉われないワークスタイル

  「仮想化工房」のマイスターが選んだのは
VMware、Hyper-V、そしてVirtageだった!

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か

  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?