米Googleは米国時間2009年8月25日,「Google Chrome」のセキュリティ修正版「2.0.172.43」をリリースしたと発表した。修正対象のセキュリティ・ホールは,遠隔コード実行に悪用可能な重要度「High」2件を含む合計4件。既にChromeを使用している場合,自動的にアップデートされる。
重要度Highのセキュリティ・ホールは,JavaScriptエンジン「V8」に存在する「CVE-2009-2935 Unauthorized memory read from JavaScript」と,タブ処理部に存在する「CVE-2009-2416 Multiple use-after-free vulnerabilities in libxml2」。前者は,攻撃用JavaScriptで勝手にコードを実行される恐れがある。後者は,細工されたXMLデータでタブ処理がクラッシュし,遠隔コード実行の可能性がある。ただし,いずれのコードもChromeのサンドボックス内で実行されるという。
2.0.172.43は,ハッシュ関数アルゴリズムMD2またはMD4で署名された証明書を使っているSSLサイトに接続できなくなる。MD2/MD4は解読されやすく証明書の偽造につながるため,Googleはフィッシング対策の一環などとして非対応とした。
さらに,2.0.172.43でセキュリティ・ホール「CVE-2009-2414 Stack consumption vulnerability in libxml2」も修正する。
