Google Chrome: Beta/Stable リリース 1.0.154.46

Google Chrome の Beta および Stable チャンネルにおいて 1.0.154.46 をリリースいたしました。

現在、Stable、Beta および Dev チャンネルという3つのチャンネルを用意しておりますが、2月ごろを目途に安定したリリースを Stable チャンネルに提供できるまでは、Stable と Beta チャンネルは同じリリースが提供される予定です。

このリリースでは Yahoo! Mail と Hotmail という普及している Web メールでの問題が修正されております。

• Yahoo! Mail からの送信が動作するようになりました (英語のみ。日本での問題の詳細および本リリースにての修正状況は現時点では不明です)
• Windows Live Hotmail が動作するようになりました。Hotmail チームにより適切な修正が行われるまでの間は、User Agent 文字を変更する一時的な対応を行います。これにより、mail.live.com で終了する URL にリクエストを送信する際には、変更された User Agent 文字列が送られます。もし、以前のリリースにおいて、手作業で --user-agent スイッチをつけられていた方は、本リリースより、その対応を外していただけます。

また、本リリースでは2つのセキュリティ対応がおこなわれています。

セキュリティアップデート

• 「Adobe Reader プラグインを介したクロスサイトスクリプティングによる脆弱性」への対応
  • CVE: CVE-2007-0048, CVE-2007-0045
  • Google Chrome では Netscape プラグイン API (NPAIP) 中に含まれた Adobe Reader プラグインからの javascript:URLs のリクエストを拒絶するようにしました。Adobe は本件について認識をしており、すべてのユーザーへの対応を Adobe 側で行うまでの間、Google が問題をできるだけ緩和するための開発をサポートしていただけました。
  • 重要度: 中間レベル．この脆弱性により、PDF ドキュメントから任意のサイトでのスクリプトを実行させることが可能です。
  • 謝辞: Michael Schmidt氏より本件を Google に連絡いただきました。
• JavaScript Same-Origin バイパス
  • CVE: CVE-2009-0276
  • V8 JavaScript エンジンのバグにより、ある状況において、same-origin チェックのバイパスを許してしまいます。
  • セキュリティ: 高．任意のページに含まれる悪意のあるスクリプトがほかのフレームにある完全な URL を読み取ることが可能です。また、同じように、ほかの属性やデータを異なる origin にある別のフレームから読み取れる可能性があります。これにより、ある Web サイト上の重要な情報が第三者に取得される恐れがあります。
  • 本件は Google 社内の調査で発見されました。

このほかの変更点や修正点の詳細については、リリースノートをご覧ください。
http://dev.chromium.org/getting-involved/dev-channel/release-notes（英語）