脆弱性にもサンドボックスモデルが有効

Chrome 2.0正式版登場、グーグルは安全性も強調

2009/05/22

　グーグルは5月22日、オープンソースベースのWebブラウザの最新版「Google Chrome 2.0正式版」をリリースした。Windows XP/Vista対応版を同社のWebサイトからダウンロードできるほか、インストール済みのChromeは自動アップデートされる。同社は2008年9月に初めてのChromeベータ版をリリースしてから、約3カ月でバージョン1.0正式版を出し、さらにその後5カ月強でバージョン2.0を出したことになる。

グーグルシニアプロダクトマネージャー及川卓也氏

　Chrome 2.0のChrome 1.0からの機能強化・追加は以下の通り。

JavaScriptエンジン「V8」の高速化。JavaScriptを多用するページでは1.0に比べて30％高速化しているという
フォームのオートフィル機能を実装
プロキシ設定を自動化するPACファイル対応
新規タブを開いたときに表示されるサムネイルの編集機能
プレゼンテーション時などに使えるフルスクリーン表示機能

　同日に東京都内で会見したグーグルシニアプロダクトマネージャー及川卓也氏は、速度や機能強化に合わせてChromeの安全性を改めて強調した。

　ChromeやWebKitには、これまでいくつかクリティカルな脆弱性が報告されている。例えば、4月19日に報告されたグラフィックライブラリのSkiaにあった脆弱性は、画像サイズの計算時に整数値のオーバーフローをチェックしておらず、このため簡単なスクリプトを書くことで任意のコードを実行できてしまう、というものだった。

　こうした脆弱性は、通常はトロイの木馬などWeb経由で感染するタイプのマルウェアの入り口となるケースが多い。しかし及川氏によれば、Chromeでは2つの理由から、このような危険な脆弱性でもChromeは一定の安全性を保てるという。

　1つはChromeのタブがサンドボックス環境となっていること。各タブは、独立したプロセスとしてそれぞれが“閉じた環境”で動いているため、たとえタブを乗っ取られてもWindowsのシステムディレクトリや、ほかのタブに対して悪影響を及ぼすことがないという。「システムへの書き込みができないので、攻撃者はローカルPCを攻撃できない」（及川氏）。

　また、Chromeではセキュリティパッチやバージョンアップといった更新作業を自動で行うため、ユーザーがブラウザやOSを再起動すれば、最新のバージョンとなっている。こうしたことから、脆弱性が発見されてから、ユーザーがパッチを適用するまでの期間が短く、攻撃者が脆弱性を悪用することが難しい。「長くても数日の間にほとんどのユーザーが最新版にアップデートしている」（及川氏）。