グーグルは22日、深刻な脆弱性を修正した「Google Chrome」の最新安定版「40.0.2214.91」を公開した。対象となるのは、Windows、Mac、Linux。モバイル版のGoogle Chrome 40も、iOS版が前日、Android版が同日公開されている。
デスクトップ版のChrome 40では、62件の脆弱性が修正されている。修正された脆弱性には、リモートコード実行につながるメモリーがらみの危険な問題が多数含まれており、悪用されるとシステムが乗っ取られるなどの深刻な事態を招くおそれがある。
最新版への更新は自動的に行われるほか、Chromeメニュー(右端のアイコン≡)から[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。
■NPAPIプラグインの全ブロック開始
サポート停止に向けて段階的な廃止措置がとられている、NPAPI(Netscape Plugin API)プラグインが、今回から標準で全てブロックされるようになった。
NPAPIは、1990年代に人気の高かったWebブラウザ「Netscape Navigator」が搭載した、さまざまな機能をブラウザに組み込むための仕組みのこと。多くのブラウザに採用され、異なるブラウザ上で同じNPAPIプラグインが利用できるようになった。しかし、設計が古く性能や安全性の問題が顕著になりはじめたことから、Chromeでは、より安全なPPAPI(Pepper Plugin API)を提供し、移行を呼びかけるとともに、NPAPIプラグインの段階的な廃止措置を開始した。
2014年1月からは、NPAPIプラグィンが標準でブロックされるようになった。ただし、マイクロソフトのSilverlightなどの一部のプラグインはホワイトリスト化され、ブロックの対象外になっていた。今回からは、このホワイトリストで許可されていたものも含め、すべてのNPAPIプラグインがブロックの対象となり、ユーザーが許可を与えなければ実行できなくなった。今年4月に公開予定の「Google Chrome 42」からは、NPAPIプラグインのサポート自体が標準で無効化される予定だ。
Chromeにインストールされているプラグインの管理は、Chromeメニュー(右端のアイコン≡)から[設定]を選択し、[詳細設定を表示]をクリック。[プライバシー]セクションの[コンテンツの設定]をクリックして、[プラグイン] セクションで行う。ここでは、プラグインの標準動作(自動実行/クリック再生/ブロック)を選択。[例外の管理]では、ホスト別の例外指定が、[プラグインを個別に無効にする]では、インストールされている個々のプラグインの動作が指定できる。
(2015/01/23 ネットセキュリティニュース)
【関連URL:グーグル】
・Stable Channel Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/stable-update.html
・Chrome for Android Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/chrome-for-android-update.html
・Chrome for iOS Update [英文]
http://googlechromereleases.blogspot.jp/2015/01/chrome-for-ios-update.html
・Upcoming changes to NPAPI support in Chrome, impact on audio dialing in Google Talk [英文]
http://googleappsupdates.blogspot.jp/2015/01/upcoming-changes-to-npapi-support-in.html