グーグルは17日、深刻な脆弱性の修正を含む「Google Chrome 70」の最新安定版「70.0.3538.67」を公開した。対象は、Windows、Mac、およびLinux。
Google Chrome 70では、Chromeへの自動ログイン機能を無効にする設定の追加や、暗号化されていないページで入力しようとすると、アドレスバーの「保護されていない通信」が赤色の警告表示に変わる機能などが追加されたほか、計23件の脆弱性が修正された。
修正された脆弱性には、アプリを隔離した環境で安全に実行するサンドボックスが迂回される問題や、JavaScriptエンジンの「V8」で任意のコードが実行されるおそれのある問題など、5段階評価の深刻度が上から2番目に高い「高」の脆弱性が6件含まれており、マルウェア(ウイルス)感染に悪用されるおそれがある。
最新版への更新は自動的に行われるほか、メニューの[Google Chromeについて]を選択すると、ただちに最新版の確認とアップデートが行える。Mac版はChromeメニューから、Windows版は右端の設定アイコン→[ヘルプ]と進むと選択できる。
最新版はブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意していただきたい。
■Chromeへの「自動ログイン機能」について
Chromeにログインすると、同じアカウントでログインした全ての端末のChrome間で、ブックマークや履歴、パスワードなどの設定の共有と同期の機能が利用できるようになる。Chrome 68までのChromeへのログインは、GmailやYouTubeなどの同社のサービスから独立していたが、Chrome 69からは、サービスにログインするとChromeにも自動的にログインするようになった。勝手にログインされるも共有や同期は自動では行われない紛らわしい仕様に反発する方も多く、今回、従来通りの仕様に戻す設定項目が追加された。
Chromeにログインせずに同社のサービスを利用する以前の仕様に戻したい場合は、Chromeの右端の設定アイコンから[設定]に進み、[詳細設定]の[プライバシーとセキュリティ]を選択する。[Chrome へのログインを許可する]のスイッチをオフにすると、自動的にログインする機能が無効になる。
Chromeにログインしているアカウントで同期が行われている場合には、このスイッチがグレーアウトして操作できない。設定ページの[ユーザー]で[オフにする]をクリックし、同期を停止すれば操作できるようになる。
■Chromeの「警告表示」について
通信の暗号化を推進する同社は、Chromeのアドレスバーに表示するインジケータが段階的に変更してきた。7月にリリースしたChrome 68では、暗号化されていないHTTP接続のページで、アドレスバーに「保護されていません」や「保護されていない通信」というインジケータを表示するようになった。9月にリリースしたChrome 69では、暗号化されたHTTPS接続のページで表示していた「保護された通信」の表示がなくなり、暗号化通信が標準であることをより強く打ち出した。
今回リリースしたChrome 70では、暗号化されていないHTTP接続のページで入力しようとすると、表示されている「保護されていない通信」が赤色の警告表示に変わるようになった。入力時の警告表示は、アップルのブラウザSafariやモジラのFirefox(デスクトップ版のみ)がすでに採り入れていたもの。ユーザー数が多く警告表示の目立つiPhoneでは、警告が出てフィッシングサイトに気付いたという声も聞かれるので、Chromeでの効果を期待したい。
(2018/10/17 セキュリティ通信)
【関連URL】
・Stable Channel Update for Desktop[英文]
https://chromereleases.googleblog.com/2018/10/stable-channel-update-for-desktop.html