Googleが最近Windows版のChromeに追加したという、セキュリティ機能の強化を紹介している(The Keywordの記事、 ESETのプレスリリース、 9to5Googleの記事、 BetaNewsの記事)。

強化されたセキュリティ機能はユーザー設定の無断変更の検出・復元機能と、望ましくないソフトウェアの検出・削除機能だ。Chromeの拡張機能の中にはユーザーに無断で設定を変更するものがある。このような無断変更が行われた場合、Chromeが検出して設定を復元するかどうかのダイアログボックスが表示されるようになったという。この機能により、過去1か月で望まない設定を元に戻したユーザーは数百万人に上るそうだ。なお、「chrome://settings/resetProfileSettings」にアクセスすることで、いつでもユーザー設定をリセットできる。

望ましくないソフトウェアを検出・削除するChrome Cleanupは、ユーザーインターフェイスがよりシンプルにわかりやすくなったという。さらにGoogleはESETと提携し、Chromeのサンドボックス技術とESETの検出エンジンの組み合わせにより、これまでよりも確実に望ましくないソフトウェアを検出・削除できるようになっている。なお、この検出エンジンは「望ましくないソフトウェアのポリシー」に従わないソフトウェアの検出に特化しており、汎用のウイルス検出プログラムとして動作するわけではないので注意が必要だ。新しい検出エンジンはChrome for Windowsのユーザーにロールアウトを開始しているとのことだ。

Microsoftが9月に発見したGoogle Chromeの脆弱性を例に、Googleのパッチ提供方針を批判している(Windows Security blogの記事、 The Vergeの記事、 Neowinの記事、 The Registerの記事)。

CVE-2017-5121はChromeのV8 JavaScriptエンジンで境界外メモリーアクセスが可能になるというもの。MicrosoftはGoogleのProject Zeroチームがよく使用するFuzzingという手法で脆弱性を検出し、リモートからのコード実行が可能になることも確認したとのこと。

GoogleはMicrosoftから9月14日に脆弱性の通知を受け、9月21日に安定版をリリースしたChrome 61.0.3163.100で修正している。ただし、この脆弱性に関するバグトラッカーは一般公開されていないが、修正がGitHubでコミットされたのは9月18日。Microsoftはコードの修正部分は修正版の一般提供後に公開すべきだと主張する。

本件ではバグの修正内容から直接脆弱性を知ることはできなず、修正版が一般提供開始されるまでの期間も短い。しかしMicrosoftによれば、Chromeでは修正がコミットされてから1か月近くたって修正版の一般提供が開始されたものもあるという。

MicrosoftではMicrosoft EdgeのJavaScriptエンジン「Chakra」のコア部分を「ChakraCore」としてオープンソース化しているが、修正版の提供を開始するまではリポジトリの更新を行わないとのことだ。