ニュース

「Google Chrome 127」が公開 ~Windowsで新たなCookie盗難対策、Entrust証明書の信頼は削除

セキュリティ関連の修正は全24件

2024年7月24日 08:45

「Google Chrome」v127.0.6533.72/73がWindows環境に

 米Googleは7月23日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。Windows/Mac環境にはv127.0.6533.72/73が、Linux環境にはv127.0.6533.72が順次展開される。

Cookieの盗難対策

 「Chrome 127」ではCookieのセキュリティを向上させるため、Windows環境でアプリバインド暗号化(App-bound encryption for cookies)が導入される。Cookieを暗号化する際に用いられるキーに「Chrome」のアプリケーションIDを紐付けることで、万が一「Chrome」と同じ権限がマルウェアに奪取されても、システムからCookieを盗み出すのが難しくなる。

関連記事

 ただし、暗号化キーがローカルマシンへ紐付けられてしまうため、移動ユーザー プロファイルでの利用は適していないので注意したい。

Entrust証明書の不信

 公開鍵証明書認証局(CA)の1つであるEntrustでコンプライアンス違反が続いていることから、同社の発行した証明書は信頼リストから削除される。このブロックは2024年10月31日以降に発行された証明書に対してのみ開始されるとのこと。

そのほかの変更

 そのほかにも、「Chrome 127」では多くの変更が実施されている。段階的にロールアウトされる機能もあるため、すぐに利用できるとは限らない点に注意。

  • HTTPSへの移行の一環として、シークレット モードで「HTTPS優先モード」(HTTPS-First Mode、HTTPS-Onlyモードとも)が既定有効に
  • 個人用と仕事用の閲覧データを分離し、プライバシーとコンプライアンスを確保するプロファイル分離のためのポリシーを改善
  • セキュリティ技術「Arbitrary Code Guard」(ACG)をブラウザープロセスで有効化するポリシー(参考記事

 一方で、サードパーティCookieの廃止は撤回された。「プライバシー サンドボックス」への投資は継続されるが、その先行きは不透明となった。

セキュリティ修正

 なお、セキュリティ関連の修正は全24件。そのうちCVE番号が公開されている脆弱性は以下の16件だ。最大深刻度は「High」で、今のところ悪用が報告されている問題はない。

  • CVE-2024-6988:Use after free in Download(High)
  • CVE-2024-6989:Use after free in Loader(High)
  • CVE-2024-6991:Use after free in Dawn(High)
  • CVE-2024-6992:Out of bounds memory access in ANGLE(High)
  • CVE-2024-6993:Inappropriate implementation in Canvas(High)
  • CVE-2024-6994:Heap buffer overflow in Layout(Medium)
  • CVE-2024-6995:Inappropriate implementation in Fullscreen(Medium)
  • CVE-2024-6996:Race in Frames(Medium)
  • CVE-2024-6997:Use after free in Tabs(Medium)
  • CVE-2024-6998:Use after free in User Education(Medium)
  • CVE-2024-6999:Inappropriate implementation in FedCM(Medium)
  • CVE-2024-7000:Use after free in CSS(Medium)
  • CVE-2024-7001:Inappropriate implementation in HTML(Medium)
  • CVE-2024-7003:Inappropriate implementation in FedCM(Low)
  • CVE-2024-7004:Insufficient validation of untrusted input in Safe Browsing(Low)
  • CVE-2024-7005:Insufficient validation of untrusted input in Safe Browsing(Low)

 そのほかにも内部監査やファジングで発見された不具合も修正されているとのこと。

 デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。すでにインストールされている場合は自動で更新されるが、設定画面(chrome://settings/help)にアクセスすれば手動でアップデートすることもできる。