Google、20年以上放置のChrome「履歴漏えいバグ」を修正
(出典 images.rawpixel.com)
Googleは、Chromeブラウザに20年以上前から存在していたセキュリティ脆弱性を修正したと発表しました。この脆弱性は、ユーザーの閲覧履歴が漏えいする可能性があるものでした。
この問題は、「ウェブサイトで青色のリンクテキストをクリックした際、クリック済みであることを示す紫色に変わる」という動作に関係しています。Googleによると、リンクをクリックしたかどうかを示すブラウザのCookie(=一時的に保存される小さなテキストファイル)が「仕切りのない」状態になっていたため、一度あるリンクをクリックすると、その後まったく無関係なウェブサイトを訪問した際でも、そのサイトに同じリンクがあれば「訪問済み」として表示されてしまっていたそうです。
Googleはこの問題を「設計上の重大な欠陥」と表現しており、ユーザーのオンライン活動に関する情報が漏れる可能性があると説明しています。たとえば、サイトAを閲覧中にリンクをクリックしてサイトBに移動した場合、サイトBは閲覧履歴に追加されます。その後、サイトBへのリンクを含む悪意のあるサイトを訪問すると、過去にサイトBを訪問したことが知られてしまうわけです。
Googleは、最新のChromeアップデートにおいてこの欠陥を修正し、クリックしたリンクを別々に保存することで、異なるウェブサイト間で情報が共有されないようにしたと説明しています。この修正は、Chromeバージョン136で一般公開される予定です。
この脆弱性は、多くのGoogle社員よりも古い歴史を持つものです。また、Chromeだけに限った問題ではなく、2009年の研究論文では、AppleのSafari、Opera、Internet Explorer、Mozilla Firefoxなど、他のブラウザにも同様の影響があったことが示されています。
Source:Chrome for Developers
via:PCMag
