Googleは水曜日、バンドルされているFlash Playerプラグインを更新し、深刻なセキュリティ上の脆弱性に対処するため、Chromeブラウザの新バージョンをリリースした。
Google Chrome 17.0.963.56 では 12 件のセキュリティ上の欠陥が修正されており、そのうち 7 件は重大度が高く、4 件は中程度、1 件は重大度が低いとされています。
セキュリティ研究者の Jüri Aedla 氏は、Chrome が PNG 画像の処理に使用するライブラリ libpng の整数オーバーフロー脆弱性を発見し報告したことで、1,337 ドルの特別報奨金を受け取りました。
ブラウザの PDF コーデック、サブフレームの読み込み、h.264 解析およびパス レンダリング コンポーネント、さらに MKV、データベース、列、カウンター ノードの処理コードにも、重大度の高いその他の欠陥が確認されました。
理論的には、これらの脆弱性は、標的のシステム上で任意のコードをリモートで実行することを可能にする可能性があるため、重大であると考えられます。
ただし、Google Chrome はサンドボックス化されたアーキテクチャを採用しているため、これらの脆弱性を悪用するだけでは、攻撃者に悪意のあるコードを実行するために必要なレベルのアクセス権を与えることはできません。
Google Chromeのエンジニアであるジェイソン・カーシー氏は水曜日のブログ投稿で、今回のリリースで修正された6つの脆弱性は、AddressSanitizerと呼ばれるオープンソースツールの助けを借りて発見されたと述べた。
カーシー氏によると、Chrome 17.0.963.56には、Adobeが水曜日にリリースした新しいFlash Playerバージョンも含まれている。このFlash Playerアップデートは、7つの重大なセキュリティ上の欠陥を修正している。
Googleは、今回のリリースで修正された脆弱性を報告したセキュリティ研究者に合計6,837ドルを支払いました。同社は最近、Chromiumセキュリティ報奨プログラムを拡張し、Chrome OSで発見された脆弱性も対象としました。
